РЕПОРТАЖ 40 Оборудование Cisco

для «самых маленьких»

2 Виртуализация от Citrix – Как подключиться? Как настраивать? Что означают те
новый взгляд на привычные вещи или иные команды?
Итоги Citrix Virtualization Conference 09. Сергей Крутилин
Алексей Бережной
46 Почтовый клиент Alpine
8 В Москве прошла конференция Краткий обзор.
системных администраторов RootConf 2009 Игорь Штомпель
Интересные подробности для тех, кто пропустил ме-
роприятие. БЕЗОПАСНОСТЬ
Дмитрий Шурупов
48 Выбираем антивирус для небольшой сети
 ТЕНДЕНЦИИ На чем остановить свой выбор?
Сергей Яремчук
АДМИНИСТРИРОВАНИЕ
59 Тотальная защита локальных сетей
2 Windows 7: что новенького? Тестируем устройство Dr.Web Office Shield.
Еще не отшумели страсти по Windows Vista, а Microsoft Вячеслав Медведев
уже выпустила бета-версию новой ОС Windows 7.
Андрей Бирюков АДМИНИСТРИРОВАНИЕ «С»
6 Основные изменения в WAIK 60 Обновление конфигурации
для Windows Server 2008 R2/7 Как избавить себя от лишних проблем.
Одновременно с выходом бета-версий Windows 7 Андрей Луконькин
и Windows Server 2008 R2 были представлены и обнов-
ленные инструменты, среди которых – Windows AIK. ЧЕЛОВЕК НОМЕРА
Сергей Яремчук
62 Жизнь в стиле хокку
20 Автоматическая установка Интервью с Максимом Акимовым, главой представи-
Adobe Creative Suite 3 тельства Kerio Technologies в России и странах СНГ.
Уделяем основное внимание выборочной установке Оксана Родионова
пакета.
Иван Коробко ВЕБ-ПРОГРАММИРОВАНИЕ
23 «0-Страйк» 67 JavaFX – Reach Internet Application от Sun
Незаменимые программы для системных админист- Прощай, унылый Swing?
раторов. В декабре 2008 года компания Sun Microsystems пред-
Дмитрий Степанов ставила финальную версию JavaFX – свою платформу
для создания Rich Internet Application, ставшую достой-
24 Делегируем права на перемещение ным ответом конкурентам.
учетных записей пользователей Кирилл Сухов
в Active Directory. Часть 2
На примере создания надстройки нестандартного деле- 74 Приёмы минификации в веб-приложениях
гирования административных полномочий для Windows Любой веб-мастер желает, чтобы его сайт загружался
Server 2003 будут рассмотрены методики разработки быстрее, чем сайт конкурента, поэтому оптимизация -
классов COM на языках сценариев. важный аспект разработки любого веб-проекта.
Вадим Андросов Антон Гришан

3 Синхронизируем данные между РЕТРОСПЕКТИВА

компьютерами с помощью сервисов
сетевого хранения
С появлением недорогих лаптопов и ультрадешевых
неттопов эти «создания» начали плодиться во всех мес-
тах моего обитания – дома, в офисе, на даче, диване.
И тогда начались проблемы с синхронизацией данных.
Виталий Банковский
80 Мал, да удал: мини-комьютер PDP-8
Этот компьютер интересен оригинальными решениями,
воплощенными при его проектировании, которые мо-
гут оказаться поучительными и полезными для совре-
менных разработчиков.
Алексей Вторников

34 PowerShell. Определяем имя текущего ТВОРЧЕСТВО АДМИНА

домена
При подключении к каталогу Active Directory первый 88 Контейнер
шаг – определение имени текущего домена. Для этого Рассказ.
используется виртуальный объект RootDSE. Станислав Шпак
Иван Коробко
9 СИСАДМИН ТОЖЕ ЧЕЛОВЕК
36 PowerShell. Поиск объектов в каталоге
Active Directory 92 КНИЖНАЯ ПОЛКА
Получение информации из каталога Active Directory
в девяти случаях из десяти сводится к поиску объектов, 39, 45, 90 BUGTRAQ
которые удовлетворяют заданным критериям.
Иван Коробко

№4, апрель 2009 

Виртуализация от Citrix –
новый взгляд на привычные вещи

Всевозможные конференции с презентациями каких-либо продуктов от разных компаний

проходят постоянно. Большинство посетителей привыкли к устоявшемуся формату подобных
мероприятий: «приветственный кофе», затем вступительное слово, презентации, кофе-брейк,
снова презентации, потом обед, еще презентации, второй кофе-брейк, презентации и наконец
прощальное слово, иногда фуршет и розыгрыш призов. Обычно все проходит просто,
предсказуемо и даже обыденно. Но только не в этот раз...
Особенности проведения Конкуренция или сотрудничество». ла выставка спонсорских компаний,
19 марта 2009 года в гостинице «Рэ- Но это частности. Главное, что участ- так или иначе связанных с основной
диссон САС Славянская» состоялась ники получили возможность выбо- темой конференции.
конференция, посвященная технологи- ра просмотреть и прослушать имен-
ям виртуализации – Citrix Virtualization но тот материал, который наиболее Доклады
Conference 09. интересен. С самого начала конференции был
Как известно, при проведении лю- Во-вторых, параллельно с пле- задан очень высокий темп. Я расска-
бых публичных мероприятий наибо- нарной сессией проводились ла- жу о самых ярких понравившихся вы-
лее ценный ресурс – это время. Обыч- бораторные работы по продуктам ступлениях.
но не успели еще обсудить все интере- Citrix XenDesktop и Citrix EdgeSight Первое выступление и собственно
сующие вопросы, а уже расходится по- для XenApp 5. И те участники, кото- открытие выставки провел Карл-Хайнц
ра... В этот раз компания Citrix отош- рых больше интересовала практичес- Варум (Karl-Heinz Warum, Regional
ла от вышеупомянутых традиционных кая часть, получили возможность по- vice-president DACh & CE Citrix System).
форм проведения конференции. щупать новые технологии своими ру- Выступление было предельно кратким
Во-первых, после вступительной ками. и довольно энергичным.
пленарной сессии основная програм- Ну и в-третьих, во время кон- По характеру и стилю оформле-
ма мероприятия была разделена на не- ференции можно было сдать экза- ния пленарная сессия походила ско-
сколько направлений (треков): «Тех- мены на сертификат Citrix Certified рее на шоу, нежели на набор презен-
нический трек», касающийся техни- Administrator (ССА). Данная акция бы- таций. Участники выходили на сцену
ческих деталей, «Бизнес-трек», выде- ла организована «Сетевой Академей под громкую музыку. Практически все
ливший в себе часть, напрямую каса- Ланит». Предварительно зарегистри- выступления были интересны, но что
ющуюся бизнеса, и «Инновационный роваться на экзамен можно было, от- касается иностранных коллег, то их
трек», посвященный новым направле- правив соответствующую заполнен- речь была прямо-таки до предела на-
ниям и технологиям. Надо заметить, ную форму администратору тестово- сыщена эмоциями.
что данное разделение было весьма го центра. Докладчик кратко напомнил при-
условным. В целом подобное разделение не- сутствующим об экономическом кри-
Например, А лександр Светла- только внесло новшества в стандарт- зисе и необходимости снизить за-
ков делал доклад на тему «Интегра- ный подход к проведению конферен- траты и одновременно модернизиро-
ция продуктов Citrix на платформу HP ций, но еще и позволило участникам вать ИТ-структуру, используя продук-
Blade System» в рамках «Бизнес-тре- наиболее полно использовать время цию компании. Честно говоря, на кон-
ка», а в рамках технического трека и ресурсы конференции, выбрав толь- ференции, наверное, не было ни од-
выступили представители от Microsoft ко то, что действительно необходимо. ного выступления, в котором хотя бы
Алексей Мурзов и Алексей Кибкало Помимо основной программы вскользь не упомянули о нынешнем
с докладом на тему: «Microsoft и Citrix: конференции параллельно работа- экономическом кризисе. Судя по все-


му, обсуждение мирового экономического кризиса стало и материалом на актуальную тему мало кого оставил рав-
модной темой, используемой при презентациях абсолют- нодушным.
но любой продукции. Далее было выступление Сергея Халяпина, который на
Наверное, стоит упомянуть несколько основных тези- примере некой компании Citron представил путь возмож-
сов данного доклада. По словам Карла, в 2012 году в мире ной экономии средств.
будет насчитываться порядка 650 миллионов виртуальных Основываясь на том факте, что 80% средств, выделя-
десктопов. И компания Citrix делает все возможное, чтобы емых на ИТ, уходит на поддержку существующей инфра-
эта перспектива получила свое воплощение. структуры и только 20% идет на развитие, было предложе-
Одним из основных преимуществ виртуализации явля- но за счет технологии виртуализации и внедрения терми-
ется независимость от используемой платформы. Так, если нальных решений сократить расходы именно на поддержку,
у пользователя дома компьютер Apple Macintosh, а в ком- оставив инновационные затраты без изменений.
пании в качестве корпоративного стандарта принята плат- Среди возможных путей экономии средств были отме-
форма Microsoft, то не существует особых проблем транс- чены следующие:
лировать рабочий стол с его виртуального PC прямо на эк- n Централизация ресурсов. При внедрении системы вир-
ран домашнего Макинтоша. туализации десктопов XenDesktop достаточно иметь
Докладчик также упомянул о технологии Citrix Cloud считанное количество образов виртуальных машин для
Computing, позволяющей проводить распределенные вы- трансляции виртуальных машин на рабочее место поль-
числения. По его словам, эта новая технология позволит зователя.
осуществить качественный прорыв в области применения n За счет виртуализации и терминализации возможно зна-
информационных технологий и осуществить переход на но- чительно сократить расходы на приобретение, модерни-
вый уровень, в том числе и в применении технологии вирту- зацию, обслуживание и утилизацию офисных компью-
ализации. Несмотря на то что доклад касался общих вопро- теров.
сов и носил скорее вступительный характер, речь доклад- n Также возможно значительно снизить расходы на элек-
чика произвела завораживающее впечатление. троэнергию за счет внедрения более экономичных тон-
Следом подошла очередь выступления Сергея Кузне- ких клиентов взамен «прожорливых» ПК.
цова (Country manager Citrix) и далее – Сергея Халяпина, n Вместо расширения WAN-каналов предлагается исполь-
(SE Team Lead). зовать Repeater (Wanscaler) и Netscaler, что позволяет
Сергей Кузнецов представил доклад на тему «Страте- использовать существующие каналы с максимальной
гия виртуализации Citrix 2009: Новые решения в новых ус- отдачей.
ловиях». Он с энтузиазмом отметил выход новых продук-
тов, таких как: Таким образом, по словам докладчика, общая эконо-
n XenServer 5.0; мия при внедрении современных технологий Citrix способ-
n XenApp 5.0;
n XenDesktop 3.0;
n Repeater (Wanscaler) 5.0.

«Но новое не значит сырое», – сказал Сергей Кузнецов,

отметив тот факт, что номера версий представленных про-
дуктов больше «1.0» (единицы) и базируются на технологи-
ях, проверенных временем и большим количеством пользо-
вателей по всему миру. Поэтому сейчас, во время экономи-
ческого кризиса, когда руководство большинства компаний
задается вопросом: «А что будет, если новое не заработает»,
при покупке продуктов Citrix можно с уверенностью заявить,
что такой проблемы не возникнет. Всего в мире на продук-
тах Citrix работает более миллиона серверов, которые ис-
пользуют более ста миллионов пользователей.
По мнению г-на Кузнецова, в недалеком будущем затра-
ты на обслуживание офисных компьютеризированных ра-
бочих мест не будут превышать затраты на закупку кофе
для офиса. И все это благодаря системам виртуализации,
и в частности таким продуктам, как Citrix XenDesktop.
Упомянул Сергей и о специальных антикризисных мерах
компаний, в частности о переходе новой версии XenServer
на бесплатную основу. С 7 апреля 2009 года данный про-
дукт будет доступен для бесплатного скачивания на сай-
те компании Citrix.
В целом доклад произвел довольно приятное впечат-
Дмитрий Прокопенко, исполнительный директор компании «Виат»,
ление. Энергичный темп совместно с живым изложением на фоне стенда своей компании

№4, апрель 2009 


Участники конференции обсуждают новые технологии
на достичь отметки 25% в плане за-
трат на поддержание ИТ-инфраструк-
туры, что само по себе не может не ра-
довать.
В общем была нарисована доволь-
но радужная картина сокращения рас-
ходов при внедрении новых техноло-
гий и повышения качества сервисов,
предоставляемых ИТ-структурой.
После этого Сергеем Халяпиным,
Денисом Гундаревым и Николаем Шад-
риным были представлены несколько
демонстраций: миграция виртуально-
го офисного десктопа с Windows XP
на Windows Vista, использование
iPhone в качестве тонкого клиента.
Сам дух, стиль проведения конфе-
ренции, энтузиазм участников спо-
собствовали удивительно живой ат-
мосфере общения. Информация вос-
принималась довольно легко, вызывая
положительные эмоции.
Не обошлось и без курьезов. При
демонстрации миграции виртуально-
го офисного десктопа c Windows XP
на Windows Vista произошел разрыв
сессии. Желая поддержать ход де-
монстрации, Сергей Халяпин спро-
сил (далее идет почти дословное ци-
тирование):
– Денис, что у нас сейчас происхо-
дит на экране?
– А это, видимо, кто-то в другом мес-
те подключился к серверу с этой учет-
ной записью..., – не растерявшись, от-
ветил Денис.
Позже, когда закончилась к де-

монстрации использования iPhone, Де-
нис сказал:
– Кстати, я знаю, почему произошел
разрыв сессии. Это у менеджера был
настроен клиент на iPhone, соответ-
ственно, он нажимает на иконку и про-
исходит установка соединения.
– Сможем ли мы теперь показать
нашу демонстрацию? – вновь спросил
Сергей Халяпин.
– Сможем, если наш менеджер пе-
рестанет бегать по залу и нажимать
разные кнопки, – как ни в чем не бы-
вало ответил Денис, к всеобщему удо-
вольствию зала.
Идут лабораторные работы
Что касается демонстрации воз-
можностей использования iPhone
для работы с продуктами Citrix, это вы-
глядело весьма привлекательно. Зри-
телей не могли не впечатлить такие ве-
щи, как экранная клавиатура, увеличи-
вающаяся в размерах, масштабирова-
ние рабочего стола.
Вообще надо отметить, что несмот-
ря на некоторые технические наклад-
ки демонстрации, проводимые Дени-
сом, вызвали неподдельный интерес
и явились, по сути, ярким захватыва-
ющим событием в программе конфе-
ренции.
Надо также отметить, что учас-
тие технических специалистов: Дени-
са Гундарева и Николая Шадрина при-
дало конференции неповторимый от-
тенок живого человеческого общения.
Вокруг них практически постоянно со-
бирались участники, чтобы задать ин-
тересующий вопрос, получить необхо-
димую консультацию или просто обме-
няться контактами. Что касается вы-
ступлений и демонстраций, проводи-
мых этими замечательными ребята-
ми, то они проходили легко и непри-
нужденно, оставляя после себя пре-
красное впечатление.
После непродолжительного кофе-
брейка было представлено несколько
очень коротких выступлений, среди ко-
торых запомнился доклад директора
по маркетингу BCC Company Алексан-
дра Герасимова, который рассказал об
особенностях использования продук-
ции Citrix в качестве платформы для интеграции. В част-
ности, он отметил некоторые особенности работы компа-
ний в условиях экономического кризиса, в том числе:
n резкое и непредсказуемое изменение бизнес-среды;
n необходимость «ручного управления» (то есть момен-
тальной реакции на создавшуюся ситуацию).
В данных условиях обычная репликация баз данных уже
может не соответствовать молниеносно изменяющимся ус-
ловиям рынка и требуется более быстродейственный под-
ход, такой как терминальные решения.
Также хотелось отметить доклад Сергея Члека, (Product
manager HP Blade System) который представил решения HP
в плане блейд-серверов для виртуализации на базе продук-
тов Citrix. Несмотря на краткость (около 10 минут), выступ-
ление Сергея Члека было весьма информативным. В час-
тности докладчик отметил интеграцию системы виртуали-
зации с ILO (Integrated Lights-Out) и тот факт, что для управ-
ления достаточно обычного интернет-браузера. В конце до-
клада Сергей пригласил посетить стенд компании Hewlett
Packard для более близкого знакомства с решениями на ба-
зе HP Blade System.
Компания «MTC» в лице Владимира Шмелева предста-
вила краткий доклад о возможностях защищенного удален-
ного доступа к ресурсам компании через каналы пакетной
передачи данных (GPRS/EDGE/3G). Суть выступления за-
ключалась в современных возможностях, которыми обла-
дают сотовые интеграторы при организации беспроводных
сетей. В качестве примера был рассмотрен вариант с бан-
коматом, который находится вдали от коммуникаций. Так-
же был рассмотрен случай организации «ручного управле-
ния» для топ-менеджера, находящегося вне офиса. В сво-
ем докладе Владимир посоветовал не рассматривать круп-
ного сотового оператора как нечто монументальное, абсо-
лютно негибкое и плохо приспосабливаемое к нуждам от-
дельной компании. Наоборот, возможности крупных сото-
вых операторов (и «МТС» в том числе) позволяют макси-
мально полно и адаптированно помочь современному биз-
несу в организации его работы.
После этого, под громкую музыку, с улыбкой на лице вы-
шел Фабиан Кинли (Business developer Citrix), который про-
вел подряд два длительных выступления: «XenApp 5 FP: Но-
вые возможности проверенного решения» и «Виртуализа-
ция рабочих станций с Citrix XenDesktop». (Во втором вы-
ступлении также принимал участие Манфред Майерхофер,
представитель компании WYSE.)
Это была длительная, очень эмоциональная речь на ан-
глийском языке, сопровождающаяся англоязычными слай-
дами презентации. Чтобы понять выступающего, значи-
тельная часть участников конференции прибегала к помо-
щи устройства синхронного перевода. Честно говоря, эти
доклады оставили несколько неоднозначное впечатление.
Данное выступление больше походило на упражнение в
ораторском искусстве, нежели на деловую презентацию.
Если бы это выступление продолжалось в течение 10 ми-
нут, оно воспринималось бы как призыв, как побуждение к
действию. Но слушать плотный поток эмоциональных воз-
гласов на иностранном языке в течение полутора часов,
пусть даже временами прибегая к услугам устройства син-
№4, апрель 2009
Денис Гундарев, системный инженер Citrix
хронного перевода, лично мне показалось несколько уто-
мительным. Большая часть выступления была продублиро-
вана российскими коллегами, представившими очень ин-
тересные доклады, поэтому некоторые участники конфе-
ренции предпочли в это время осмотреть стенды компании
Citrix и ее партнеров, представленные на выставке.
После завершения пленарной сессии и обеда передо
мной встала проблема выбора. Как я уже упоминал, вто-
рая часть конференции была поделена на три трека: «Биз-
нес», «Инновационный» и «Технический», которые прохо-
дили одновременно. Поскольку одновременно присутство-
вать в трех различных местах мне показалось весьма за-
труднительным, я выбрал «Инновационный» трек. И не по-
жалел. Программа этого цикла оказалась очень интерес-
ной и познавательной.
Во-первых, был представлен крайне интересный доклад
Николая Шадрина на тему Cloud Computing – новый под-
ход к высоко нагруженным системам. В частности, особен-
ный интерес вызвал Citrix Netscaler. Как известно, WAN-ка-
налы в России обладают, мягко говоря, весьма скромны-
ми возможностями. При этом стоят услуги интернет-про-
вайдеров весьма недешево. И появление нового решения
в виде устройства, позволяющего не только обеспечить
более качественную связь с регионами, но и оптимизиро-
вать трафик, снизив затраты вызвали значительное ожив-
ление. Во время этого доклада Николая прямо-таки забро-
сали вопросами. Сам по себе доклад был весьма живым
и впечатляющим.
Во-вторых, представителем компании BCC Борисом
Королевым были представлены крупицы бесценного опы-
та в докладе «Опыт построения защищенной инфраструк-
туры доступа для ОАО «Сибирская Угольная Энергетичес-
кая компания». Речь шла о практике использования Citrix
Access Gateway.

 В-третьих, Дмитрий Бессонов на тему «CAD-online от идеи до рабоче- В целом доклад произвел очень
(«Группа компаний «Сквирел») предста- го стола», в котором рассказали о воз- положительное впечатление, живая
вил доклад «Создание виртуальных ра- можностях публикации CAD-системы. речь сопровождалась хорошо подго-
бочих мест в компании «Сквирел». Как Участники в реалии увидели опублико- товленной презентацией. К сожале-
в предыдущем случае, на опыте конк- ванное посредством Citrix XenApp-при- нию, из-за слишком малого количест-
ретной компании было продемонстри- ложение «Компас 3D». В окне обычно- ва оставшегося времени доклад полу-
ровано, как современные технологии го браузера, в данном случае Internet чился очень сжатым. Сразу после до-
могут помочь в сокращении расходов Explorer, были продемонстрирова- клада к Николаю потянулись участни-
на ИТ-структуру. Особенно впечатлило ны возможности использования CAD- ки конференции с просьбой записать
исследование на тему экономии элект- приложения. Продемонстрированная или выслать презентацию, а также за-
роэнергии. По словам докладчика, од- схема работает на одном физическом дать интересующие вопросы.
на из главных проблем работы совре- сервере, на котором развернуты 4 вир-
менного офиса – отсутствие возмож- туальных машины Microsoft Windows Заключение
ности подвести большую электричес- Server 2003. В качестве терминаль- Конференция оказалась весьма заме-
кую мощность. Терминализация спо- ных серверов использовались серве- чательным мероприятием, не только
собна решить эту проблему. Энергопот- ры XenApp на базе виртуальных ма- интересным и познавательным, но и
ребление среднего офисного систем- шин, доступ осуществлялся через Citrix крайне полезным. Информация, про-
ного блока ~150 Ватт. Энергопотребле- Access Gateway. Дополнительно был ис- демонстрированная на презентациях,
ние тонкого клиента WYSE даже в слу- пользован сервер Active Directory. Вся возможность пощупать новые техноло-
чае самой большой нагрузки (напри- система виртуальных машин работает гии во время лабораторных работ поз-
мер, запуск приложений мультимедиа) под управлением Citrix XenServer. волили не только расширить свой кру-
не превышает 15 Ватт. При наличии се- «XenServer – платформа облач- гозор, но и получить ответы на интере-
ти примерно в 100 компьютеров набе- ных вычислений» – последнее вы- сующие вопросы. Несколько участни-
гают приличные цифры. Даже с учетом ступление, которое провел Николай ков конференции из числа моих зна-
повышения потребления мощности при Романовский, представитель компа- комых сообщили мне, что собирают-
вводе в эксплуатацию дополнительных нии «ОЛЛИ». Он рассказал о возмож- ся если не полностью перевести свою
серверов получается минимум двукрат- ностях продукта Citrix Cloud Center C3 систему виртуализации на продукты
ная экономия. Добавим к этому сниже- и преимуществах использования Citrix Citrix, то уж точно намерены скачать
ние затрат на ремонт, обслуживание, XenServer для виртуализации серве- и протестировать предложенное ПО
утилизацию и т. д., и получается весь- ров. Среди указанных преимуществ: для сравнения с продуктами VMware.
ма внушительная экономия. n Производительность на уровне ап- В конце концов, всегда полезно иметь
В-четвертых, Анатолий Бочков, паратной платформы, использует альтернативу, а продукты компании
представитель компании «ОЛЛИ», технологии аппаратной виртуали- Citrix и ее партнеров способны сде-
представил Citrix Branch Repeater. Его зации. лать эту альтернативу поистине блес-
доклад был замечателен тем, что по- n XenServer Tools для улучшения I/O. тящим решением.
мимо презентации нового продукта со- n XenServer изначально 64-битный.
держал интересные детали об особен- n Возможность при помощи XenAPI Алексей Бережной,
ностях передачи данных по TCP-прото- создать настраиваемые решения. фото автора
колу и методах оптимизации WAN-ка-
налов, которые используются при пе-
редаче данных. В частности были рас-
смотрены такие процессы, как TCP
Slow Start и TCP Congestion Control. Так-
же было полезно узнать о различных
методах компрессии трафика. Особен-
но впечатлило сообщение о возмож-
ности сжимать зашифрованный тра-
фик по ICA-протоколу, появившейся
в новой версии Citrix Branch Repeater
(WANscaler).
Несмотря на очень высокий темп
проведения конференции, все же ощу-
щался дефицит времени. Поэтому две
следующие презентации были очень
краткими.
Владимир Высоцкий, представи-
тель компании Softkey, и Олег Зы-
ков, представитель компании «Аскон»,
подготовили совместное выступление Сергей Члек рядом со своим «подопечными» – полкой с блейд-серверами


Реклама
В Москве прошла конференция
системных администраторов
RootConf 2009
13 и 14 апреля в московском конференц-центре «Инфопространство» прошла
профессиональная конференция системных администраторов RootConf 2009 (www.rootconf.ru).
В течение двух дней на мероприятии было прочитано около 50 докладов, проведено 2 мастер-
класса и 1 «круглый стол».

В целом мы RootConf в среднем претендовало фопространства» разместились стен-

Организаторам удалось собрать пред-
ставителей многих известных компа-
ний, ряд заметных деятелей российс-
кой ИТ-индустрии и приятную аудито-
рию заинтересованных слушателей.
Доклады отбирались довольно тща-
тельно – благо, по заявлению орга-
низаторов, на каждый слот програм-
по четыре выступающих. Что не менее
важно, широкий спектр тем конферен-
ции позволил затронуть все актуаль-
ные проблемы и тренды, повседневно
встречающиеся системным админис-
траторам разного уровня.
Помимо нескольких залов для вы-
ступлений в просторном холле «Ин-
ды компаний, сотрудники которых
с удовольствием рассказывали о сво-
их технологиях и отвечали на вопросы
посетителей. Если добавить сюда раз-
личные конкурсы для всех желающих
и качественную организацию мероп-
риятия, получается и вовсе идиллия.
Единственным условным недостат-


ком, который, судя по отзывам в Се-
ти, помешал прийти на конференцию
многим желающим, стала стоимость
участия. Впрочем, несмотря на это, бы-
ли зарегистрированы почти 500 участ-
ников, так что в дни RootConf 2009
не пустовал ни один из задействован-
ных залов.
День первый
Сразу оговорюсь, что поскольку докла-
дов было много, читались они парал-
лельно. Если в первый день для это-
го было отведено два зала, то во вто-
рой – уже три. Поскольку посетить их
все одному человеку не представля-
лось сколь-нибудь возможным, в обзо-
ре я затрону лишь те, на которых я смог
присутствовать и которые мне показа-
лись наиболее интересными.
Итак, выступления в первом зале
первого же дня конференции откры-
вал Игорь Сысоев из компании «Рам-
блер», всем известный как автор лег-
ковесного веб-сервера nginx. Его до-
клад был посвящен настройке опера-
ционной системы FreeBSD 7 при ее ис-
пользовании для обслуживания нагру-
женного веб-сервера. Игорь уже делал
выступление на схожую тему два года
назад на РИТ-2007 (см. «Конференция
РИТ-2007 собрала веб-разработчиков
России» в журнале «Системный адми-
нистратор» №5 за 2007 г.), но теперь,
с появлением новой стабильной вет-
ки FreeBSD 7, потребовались опреде-
ленные адаптации прошлых рекомен-
даций. Как объяснил автор, к подоб-
ным выступлениям его побудил тот
факт, что если в Сети и появляются
статьи на тему оптимизации FreeBSD,
то обычно они сводятся к перечисле-
нию различных sysctl без особых ком-
ментариев. Более того, зачастую при-
водимые sysctl противоречат друг дру-
гу, а невнимательные читатели могут
этого даже не заметить. Посему Игорь
постарался в своем докладе не толь-
ко приводить какие-то конкретные ре-
комендации, но и объяснять их смысл.
В конце презентации автор пообещал
оформить советы в виде статьи, кото-
рую в дальнейшем опубликует на сай-
те (http://sysoev.ru).
Сергей Присяжный из ATMNIS
рассказал о сетевой подсистеме
OpenBSD, затронув такие темы, как
сокеты, mbuf, сетевой стек и марш-
рутизация. К сожалению, докладчик
№4, апрель 2009
начал слишком детально рассказы-
вать об общих вещах с демонстра-
цией на схемах, как IP-пакеты прохо-
дят в стеке от интерфейсного уровня
до транспортного и обратно, из-за че-
го до сетевых реализаций в OpenBSD
дело так и не дошло.
Анд рей Пантюхин из проек та
FreeBSD.org поделился своими взгля-
дами на современное состояние уп-
равления программным обеспечени-
ем в UNIX-подобных системах, впро-
чем, акцент на UNIX во многом был
формален (и просто более близок
автору), поскольку ряд тезисов мож-
но в значительной мере обобщить
на другие платформы. Автор гово-
рил как о том, что уже есть, развива-
ется и станет популярным в ближай-
шем будущем (например, p2p-репо-
зитории пакетов), так и о вещах, ко-
торых принципиально не хватает су-
ществующим средствам. По его мне-
нию, например, было бы неплохо ин-
тегрировать в пакетный менеджер не-
которые возможности управления ре-
сурсами (скажем, задавать системные
ограничения конкретным приложени-
ям при их установке/конфигурации),
обеспечить многоверсионные уста-
новки (чтобы появлялась возможность
простого тестирования новой версии
ПО на рабочем сервере до ее произ-
водственного применения). Предвидя
вопросы о том, почему в этом не по-
могут современные виртуализацион-
ные технологии, Андрей довольно ка-
тегорично заявил, что виртуализа-
ция – это не решение проблем, а по-
пытка обойти их.
Александр Ильичев из Microsoft, за-
нимающийся продвижением Windows 7,
постарался рассказать о том, почему
новая операционная система софтвер-
ного гиганта стала работать быстрее.
Впрочем, публике он скорее запомнил-
ся благодаря одному забавному ком-
ментарию, вызвавшему бурную реак-
цию всей аудитории. По его словам,
когда в Microsoft приступили к работе
над Windows Vista (2001 год), в компа-
нии ориентировались на существовав-
ший в то время прогноз, что в 2006 году
средний пользовательский десктоп бу-
дет оснащен 10-гигагерцовым процес-
сором и 8 Гб оперативной памяти. Как
все дружно заметили, это многое объ-
ясняет... Из нововведений в Windows 7,
которые позволили снизить ее систем-
ные требования (официально они оста-
лись такими же, как у Vista, но со слов
Александра, в действительности – ста-
ли ниже), можно выделить существен-
ную работу над так называемой фоно-
вой активностью. Если говорить вкрат-
це, то теперь благодаря так называе-
мым сервисам Trigger-Start все служ-
бы запускаются только тогда, когда
они действительно нужны и будут ис-
пользоваться, и останавливаются ана-
логичным образом.
Последним «большим» докладом
этого дня стало выступление Дмитрия
Завалишина про загадочную опера-
ционную систему «Фантом» (Phantom
OS, http://dz.ru/solutions/phantom). Не-
смотря на во многом провокационную
разработку и понятный скептицизм
всех, кто про нее впервые слышит, вы-
ступление прошло на одном дыхании,
а резкой критики со стороны слуша-
телей замечено не было. Идея проек-
та Phantom OS – в создании принципи-
ально новой ОС, не отягощенной мно-
голетним наследием существующих
платформ и одаренной нестандартной
архитектурой. «Фантом», откуда и про-
исходит ее название, не должна быть
видна программистам, а процессы
смогут обмениваться данными между
собой напрямую, находясь в едином
пространстве памяти и не делая лиш-
них операций вроде обращений к за-
писи/чтению данных на жесткий диск.
Кроме того, все процессы системы бу-
дут постоянно находиться в оператив-
ной памяти, благодаря чему, например,
система сможет мгновенно загружать-
ся после включения компьютера. До-
кладчик поделился проблемами, с ко-
торыми столкнулся при проектирова-
нии и создании новой ОС, а также пу-
тями их решения. Стоит заметить, что
законченного продукта еще нет, но не-
которые наработки у проекта уже при-
сутствуют. На вопрос о лицензирова-
нии Дмитрий ответил, что вопрос ли-
цензирования ядра «Фантома» пока
обсуждается, а все остальное авто-
ры обещают выкладывать под Open
Source-лицензиями вроде GPL. Проб-
лему полного отсутствия ПО для но-
вой ОС разработчики намерены ре-
шить написанием бинарного трансля-
тора байт-кода Java в свой байт-код
и, возможно, созданием POSIX-слоя
для совместимости с приложениями
для UNIX-подобных систем.
9
 Первый день завершился цик-
лом блиц-док ладов протяженнос-
тью по 5 мину т. В них можно бы-
ло ознакомиться, например, с Open
Source-приложениями, используемы-
ми в LiveJournal, простым и очевид-
ным способом борьбы с вирусами
с помощью средства виртуализации
VirtualBox (куда установлена Windows)
и снапшотов файловой системы ZFS
в исполнении Филиппа Торчинского
из Sun, видением рабочей среды сис-
темного администратора UNIX глаза-
ми уже знакомого посетителям Анд-
рея Пантюхина.
День второй
Второй день RootConf 2009 оказал-
ся для меня не таким продуктивным
по ряду причин, главная из которых –
менее интересные темы докладов.
Тем не менее некоторые доклады сто-
ит выделить:
n Андрей Никишин из «Лаборатории
Касперского» поделился своим
опытом в области работы со спа-
мом. Особое внимание автор уде-
лил такой современной угрозе,
10
как SMS-маркетинг через почто-
вый спам. Была приведена краткая
классификация существующих ре-
шений борьбы со спамом: програм-
мные, программно-аппаратные,
hosted service (на домене заказчи-
ка изменяется MX-запись, после че-
го все заботы о фильтрации спама
берет на себя удаленный сервер).
n Филипп Кулин рассказал о проек-
тировании и реализации неболь-
шого почтового сервера, осно-
вываясь на своем опыте работы
в Peterhost.
n Андрей Чеков из «АстелНет» по-
ведал о разработанном в его ком-
пании дистрибутиве Asterroid, при-
меняемом для организации циф-
ровой АТС. В его основе – CentOS
Linux 5.3 с Asterisk/Callweaver и ком-
мерческий интерфейс от Thirdlane
PBX. Что интересно, после внедре-
ния непосредственно IP-АТС заказ-
чику предлагается возможность ис-
пользовать этот сервер и для дру-
гих целей – с помощью доступных
в CentOS стандартных серверных
приложений вроде ipcad (для уче-
та трафика) и duplicity (для созда-
ния резервных копий).
n Кирилл Колышкин из Parallels
в подробностях рассказал о воз-
можностях управления ресурсами,
предлагаемыми популярным вир-
туализационным средством для
Linux – OpenVZ.
n Константин Осипов, участвующий
в разработке СУБД MySQL, пред-
ставил обзор Open Source-набо-
ра утилит Maatkit, значительно уп-
рощающих работу с репликацией
MySQL-серверов.
Подводя итоги
Как уже и было отмечено в начале ре-
портажа, на мой взгляд, конференция
RootConf 2009 однозначно удалась.
Это и неудивительно, когда соблюда-
ются все ключевые компоненты подоб-
ных мероприятий: хорошая организа-
ция, интересные докладчики и широ-
кий охват тем.
Дмитрий Шурупов,
фото предоставлено
организаторами конференции
Реклама
Intel передала Linux Foundation
управление проектом Moblin
2 апреля стало известно, что компания Intel передала не-
коммерческой организации Linux Foundation право руково-
дить разработкой своего Linux-дистрибутива Moblin для пор-
тативных устройств.
Moblin (Mobile & Internet Linux Project) – это Open Source-
инициатива Intel, запущенная в 2007 году и нацеленная
на создание Linux-дистрибутива, ориентированного на ис-
пользование в мобильных устройствах вроде нетбуков
(разумеется, с процессором Intel Atom). До сих пор коор-
динацией проекта занимались сотрудники Intel, но теперь
в компании решили, что развитие будет лучше продолжить
в рамках мирового сообщества, доверив его консорциу-
му Linux Foundation. И судя по всему, в Linux Foundation
настроены серьезно: «С технической поддержкой ува-
жаемых разработчиков Linux-ядра и независимым, сто-
ронним, руководством проект Moblin нацелен на то, что-
бы стать самой продвинутой и открытой мобильной Linux-
платформой».
Инициативу поддержали представители ряда Linux-
компаний, в числе которых оказались Canonical, Linpus,
Mandriva, MontaVista, Novell, Red Flag и Wind River.
Примерно через неделю на саммите Linux Collaboration
Summit выступил директор центра Open Source-техноло-
гий Intel, который рассказал о планах по совершенствова-
нию Moblin. Была озвучена довольно интересная инфор-
мация: тесты последнего альфа-релиза Moblin 2 показали,
что все крупные компоненты платформы (включая графи-
ческую систему) могут загружаться всего за несколько се-
кунд. В связи с этим в Intel намерены вновь сократить об-
щее время загрузки системы – теперь уже до двух секунд.
Стремление к такой цели объясняется новыми открывающи-
мися возможностями Moblin: например, с такой скоростью
загрузки систему можно будет использовать на устройствах
вроде встраиваемых автомобильных компьютеров.
Другим важным аспектом в совершенствовании Moblin
станет пользовательский интерфейс. В прошлом году Intel
купила компанию OpenedHand, стоящую за разработкой
Open Source-фреймворка Clutter. Ожидается, что теперь
с его помощью будут создаваться динамические пользо-
вательские интерфейсы, использующие анимацию и гра-
фическое ускорение.
Microsoft готовит рынок
веб‑приложений, открывает код
ASP.NET MVC
На конференции MIX09 стало известно, что корпорация
Microsoft занялась созданием рынка веб-приложений с от-
крытым исходным кодом, работающих под управлением
операционной системы Windows. Помимо самих приложе-
ний через него будут также распространяться сопутствую-
щие сервисы и техническая поддержка.
Новый рынок веб-приложений Microsoft был представ-
лен Лорен Куни (Lauren Cooney), менеджером по продук-
там подразделения Microsoft Web Platform and Standards.
Примечательно, что раньше Лорен работала в IBM и BEA
Systems над проектами, связанными с Open Source-техно-
логиями, веб-приложениями и языком программирования
Java. Теперь под девизом «Make Web not war» она возгла-
вила направление в Microsoft, которое станет новым витком
развития Microsoft Web Platform – набора серверов, фрейм-
ворков и приложений, формирующих платформу, нацелен-
ную на взаимодействие с популярными и широко распро-
страненными в веб-сообществе Open Source-приложения-
ми. Веб-приложения для Microsoft Web Platform поставля-
ются со специальным инсталлятором Web Platform Installer,
задача которого – упростить процессы их установки и пос-
ледующего обновления.
Кроме того, Microsoft объявила о запуске галереи
Windows Web Application Gallery, которая наглядно демон-
стрирует далеко идущие планы корпорации: в новом реше-
нии предусмотрена интеграция с такими веб-приложения-
ми, как Acquia Drupal, DotNetNuke и WordPress.
Вскоре после этого в блоге другого представителя
Microsoft, Скотта Гатри (Scott Guthrie), появилось объявле-
ние о публикации исходного кода веб-фреймворка ASP.NET
MVC 1.0 под Open Source-лицензией Microsoft Public License
(MS-PL). Последняя была одобрена в конце 2007 года груп-
пой OSI как лицензия, удовлетворяющая определению Open
Source Definition (OSD).
ASP.NET MVC – это новый фреймворк для языка програм-
мирования ASP.NET, во многом схожий, например, с популяр-
ным Ruby on Rails для Ruby. Он обеспечивает полный конт-
роль за HTML-разметкой, структурой URL-адресов, упроща-
ет модульное тестирование и способствует использованию
модели разработки TDD (test driven development).

Rackable Systems
поглотила компанию SGI
1 апреля на сайте SGI (Silicon Graphics
Inc.) появился пресс-релиз, соглас-
но которому компанию поглощает
Rackable Systems всего за 25 милли-
онов USD. Некоторые могли подумать,
что это шутка, но ситуация далека
от таковой. SGI хорошо известна всей
ИТ-индустрии своими суперкомпьюте-
рами (в свое время она поглотила Cray),
операционной системой IRIX и журна-
лируемой файловой системой XFS, гра-
фической библиотекой OpenGL. Фи-
нансовые проблемы у компании ста-
ли заметны еще в начале 2006 года,
когда SGI открыто объявила о том, что
опасается банкротства и одной из ви-
димых причин тогда назвала операци-
онную систему GNU/Linux: снижение
доходов SGI стало результатом пере-
хода от собственных технологий к ра-
бочим станциям на базе процессоров
Intel Itanium с Linux. Уже в мае 2006 го-
да компания и ее американские под-
разделения подали заявление на за-
щиту от банкротства.
Теперь SGI стала частью Rackable
Systems, а сумма сделки составила
всего 25 миллионов USD – правда,
это не совсем точные цифры, посколь-
ку новый владелец наследия SGI поо-
бещал еще и выплатить все ее долги.
В пресс-релизе заявляется, что «объ-
единенный бизнес предоставит пот-
ребителям лидирующие на рынке про-
граммно-аппаратные решения». К их
основным зонам интереса относят
кластерные вычисления на базе x86,
Интернет, облачные вычисления, мас-
штабируемые центры хранения дан-
ных, платформы визуализации.

Подготовил Дмитрий Шурупов по материалам www.nixp.ru

№4, апрель 2009 11
Windows 7:
что новенького?

Андрей Бирюков
Еще не отшумели страсти по Windows Vista и в интернет-сообществах идут нескончаемые
споры о ее преимуществах и недостатках, а корпорация Microsoft уже выпустила бета-версию
новой ОС Windows 7.

С
ам факт столь раннего появле- изучать особенности и нововведения Немного об установке
ния следующей после Windows новой операционной системы можно Я не буду описывать процесс уста-
Vista операционной системы уже сейчас. новки операционной системы, так как
многие истолковали как признание Прежде всего, следует отметить он в целом схож с установкой Windows
Microsoft провала ОС Vista. Ведь прак- что это тестовая (beta) версия опера- Vista, так же минимизировано коли-
тически сразу после официального ционной системы, в связи с чем кате- чество задаваемых перед началом
выхода Vista появились сообщения горически не рекомендуется ставить вопросов.
о разработке новой версии операци- ее в качестве рабочей ОС на «боевые» Однако я приведу некоторые свои
онной системы. Да и быстрое появле- машины. По заявлениям Microsoft, дан- наблюдения относительно самого
ние бета-версии Windows 7 подтверж- ная версия прекращает функциони- процесса установки и нагрузки, со-
дает данные предположения. Однако ровать 1 августа 2009 года. На мо- здаваемой на систему. Данный про-
исполнительный директор Microsoft мент написания данной статьи дист- цесс занимает намного меньше вре-
Стив Балмер опроверг факт провала, рибутив Windows 7 уже не был досту- мени. Так, установка Windows Vista
заявив при этом, «что в Vista есть над пен для бесплатного получения с сай- на VMWare Workstation с выделенны-
чем работать» [1]. По заявлениям то- та Microsoft. ми 756 Мб оперативной памяти заня-
го же Балмера, официальный релиз Я расскажу об основных новов- ла у меня около часа, при этом рабо-
Windows 7 может выйти уже в конце те- ведениях, а потом продемонстрирую тать в основной операционной систе-
кущего года. Несмотря на это, думаю, на практике работу некоторых из них. ме было практически невозможно, так

12
как более 90% аппаратных ресурсов
уходило на обслуживание виртуаль-
ной машины. Для Windows 7 я устано-
вил 512 Мб оперативной памяти, и ус-
тановка при этом заняла немногим бо-
лее получаса. При этом основная опе-
рационная система была вполне рабо-
тоспособна, по крайней мере, я смог
начать писать эту статью.

Интерфейс
После завершения установки и пере-
загрузки (правда, только одной) мы по-
падаем в интерфейс, очень похожий
на стандартное рабочее окно Windows
Vista. При попытке настроить систему
появляется уже знакомое предупреж-
дение User Access Control, технологии,
позволяющей контролировать исполь-
зование пользователями администра-
тивных привилегий.
В качестве интерфейса в Windows 7 Рисунок 1. Создание VHD-диска
применяется модернизированный ва-
риант Vista Aero. Данный интерфейс Например, появившийся в Vista быст- ступных сетей/View Available Network».
поддерживает новую «Панель задач/ рый просмотр приложений в панели Теперь не нужно проходить через мно-
Taskbar», которая сочетает кнопки за- задач, который выводит уменьшенный гие диалоги подключения, чтобы под-
пуска приложений, наиболее часто ис- экран работающего приложения, стоит соединиться к беспроводной сети, те-
пользуемых, с иконками приложений, только навести на него курсор мыши. перь можно быстро выбрать нужную
уже запущенных, так что вам не при- В результате такого быстрого просмот- беспроводную сеть из значка бес-
дётся переключаться между панелью ра вы получаете только приблизитель- проводных подключений в трее. Всё,
задач, меню «Пуск/Start» и панелью ное представление о том, что в данный что вам требуется – выбрать беспро-
«Быстрого запуска/Quick Launch». Так- момент делает программа. Все умень- водную сеть, которую вы хотите ис-
же здесь можно переносить иконки шенные экраны будут отображаться пользовать, после чего нажать кла-
в меню «Пуск/Start» из него, и выби- одинакового размера. вишу «Подключиться/Connect». Если
рать желаемый порядок иконок, не за- В добавление к этому в Windows 7 нужно ввести сетевой ключ защиты,
висящий от порядка, в котором запус- приложения получили собственные то будет предложен соответствующий
каются приложения. Располагать окна места на панели задач, и теперь вы мо- диалог, а если нужно войти через веб-
стало легче: просто перетащите окно жете навести курсор мыши на умень- страницу, то на ней вы и окажетесь.
на верхнюю часть экрана, и оно мак- шенный экран, чтобы просмотреть его Тот же самый список позволяет под-
симально раскроется; переместите ок- в полном размере. ключаться к мобильным широкополос-
но на край экрана, и оно закроется на- Если окно вам больше не требует- ным сетям через 3G-модем или к кор-
половину, чтобы облегчить процесс ко- ся, вы можете закрыть его из предва- поративным VPN-сетям.
пирования или вставки. рительного просмотра, без переклю-
Говоря об интерфейсе, следует от- чения в само приложение. Вкладки Новшества в сфере
метить тот факт, что изначально в сво- в Internet Explorer работают по анало- безопасности
их рекламных сообщениях Microsoft гичному принципу – каждая вкладка Средства безопасности также претер-
активно распространяла слухи об ис- выводится отдельно. пели некоторые изменения по сравне-
пользовании на экране так называе- Однако помимо визуальных эле- нию с Windows Vista. В Vista появил-
мого «кольца команд», позволяющего ментов в новой версии операционной ся целый ряд новшеств: фильтрация,
прокручивать логотипы команд на эк- системы также появились и техничес- как входящих, так и исходящих соеди-
ране, выбирая нужную (по аналогии кие нововведения, о которых я рас- нений, динамические профили, интег-
с iPhone), однако в текущей версии скажу далее. рация с IPSec и поддержка IPv6. Одна-
Windows 7 данный интерфейс не пред- ко активным при этом мог быть только
ставлен, возможно, именно потому, Работа в сети один профиль, и при нескольких под-
что для него требуется слишком мно- Работа с сетями в Windows 7 также ключениях применялся наиболее ог-
го аппаратных ресурсов. претерпела некоторые изменения. раничивающий из них. В Windows 7
Новые возможности визуализации, С помощью так называемых Jump lists это упущение было исправлено – те-
представленные еще в Windows Vista, (списков перехода) можно воспользо- перь несколько профилей могут быть
получили свое развитие в Windows 7. ваться новой функцией «Просмотр до- активными, что позволяет более гиб-

№4, апрель 2009 13


Рисунок 2. Настройки VHD-диска
ко настраивать правила для межсете-
вого экрана.
Также в Windows 7 теперь можно
шифровать содержимое съемных но-
сителей с помощью утилиты BitLocker.
Теперь BitLocker поддерживает фай-
ловые системы FAT32, ExFAT, NTFS,
а также доступ по паролю или смарт-
карте.
«Легкий медиаплеер»
Операционную систему семейства
Windows невозможно представить
без Media Player, входившего в ее сос-
тав на протяжении долгих лет. Работа
с ним под Vista и XP была примерно
одинаковой: запускалось «тяжёлое»
приложение, которое даже для того,
чтобы проиграть несколько простых
мелодий, интенсивно нагружало про-
цессор, занимало много места на эк-
ране и в памяти, что не всегда устра-
Рисунок 3. Действия над созданным VHD-диском
14
ивало пользователей, и они, как пра- пользовать и в рабочей среде, без ис-
вило, использовали альтернативные, пользования сторонних программ.
более «легкие» проигрыватели. К то- Посмотрим, как можно работать
му же был изменен интерфейс проиг- с виртуальными дисками [2]. Для на-
рывателя в лучшую сторону, добавле- чала создадим виртуальный диск.
ны функции для перезаписи списков Для этого необходимо открыть кон-
воспроизведения. соль управления дисковыми ресур-
сами, которая находится, как и в пре-
Создание виртуальных дыдущих версиях Windows, в разде-
дисков ле Computer Management, далее Disk
Одним из принципиа льно новых Management. Здесь нужно нажать пра-
средств работы с дисковыми ресур- вую кнопку мыши и выбрать Create
сами стала возможность создания VHD (см. рис. 1).
и подключения виртуальных дисков – В открывшемся окне необходимо
VHD-файлов. Причем теперь эти диски задать параметры создаваемого дис-
можно использовать в качестве обыч- ка. Как видно, этот интерфейс ана-
ных накопителей. логичен меню создания виртуальных
Использование виртуальных дис- машин в Microsoft Virual PC. Необхо-
ков дает целый ряд преимуществ: димо указать размещение VHD-фай-
n при мультизагрузке операционная ла, его максимальный размер, а так-
система остается неизменной; же способ выделения дискового про-
n не требуется отдельный раздел странства: динамическое или фикси-
для каждого экземпляра операци- рованное. Несмотря на то что здесь
онной системы; рекомендуется использовать фикси-
n появляется возможность протести- рованное выделение пространства
ровать совместимость оборудова- (VHD-файл сразу имеет заданный мак-
ния и периферии с новой ОС; симальный размер), я обычно исполь-
n удобство резервного копирования зую динамическое выделение, так как
(весь образ операционной системы это помогает сэкономить свободное
сохраняется в один файл); место на диске (см. рис. 2).
n различные образы vhd можно ис- Через некоторое время VHD-диск
пользовать при обучении и на пуб- будет создан. Теперь, нажав на нем
личных компьютерах. правой кнопкой мыши, мы можем вы-
полнить над ним различные действия.
Раньше VHD-файлы использова- (см. рис. 3).
лись только виртуальными машинами Выберем Detach. В презентации [2]
Virtual PC, однако теперь их можно ис- докладчик продемонстрировал, как
можно работать с VHD-дисками с по-
мощью консольных команд. Думаю,
данный опыт будет весьма полезен,
к примеру, в задачах автоматизации
резервного копирования, поэтому раз-
берем пример подробнее.
Итак, откроем командную стро-
ку, для этого в Windows 7 необходи-
мо в разделе Accessories открыть
Command Promt. Далее запускаем ути-
литу diskpart. Для того чтобы ознако-
миться со всеми доступными команда-
ми утилиты, можно указать «?».
Теперь подключим созданный на-
ми виртуальный диск. Для этого не-
обходимо использовать следующую
команду:
select vdisk file=путь_к_VHD_файлу
В ответ мы должны получить со-
общение об успешном открытии фай-
ла виртуального диска. Затем вводим
команду:
attach vdisk
После этого следует сообщение
об успешном подключении диска.
Теперь можно работать с нашим
виртуальным диском, как с обычным
ресурсом. Например, с помощью сце-
нария сделать резервную копию ка-
кого-либо бизнес-приложения. Для
отключения виртуального диска в
diskpart необходимо ввести команду:
detach vdisk
Продолжая тему работы с дисками
VHD, попробуем развернуть на вирту-
альном диске операционную систему.
Это может оказаться полезным, когда
необходимо иметь готовый образ ти-
повой операционной системы, исполь-
зуемой на рабочих станциях пользо-
вателей или для тестирования ново-
го оборудования. Виртуальный VHD-
диск аналогичен Live CD, загружае-
мым дистрибутивам, которые не вно-
сят изменений в установленную опе-
рационную систему.
Но, прежде чем приступить к со-
зданию образа операционной систе-
мы, необходимо обратить внимание
на следующие моменты.
Не сохраняйте файлы VHD в ка-
талог Windows, не используйте сло-
во Windows в названии диска. Далее
имейте в виду, что для дисков VHD
№4, апрель 2009
не поддерживается компрессия. К со- select vdisk file="путь к файлу"
attach vdisk
жалению, также не поддерживается
загрузка с VHD на съемном носите-
ле. Также есть несколько предосте- После этого необходимо вернуть-
режений при работе с расширяемы- ся в меню установки и продолжить ее.
ми VHD-дисками (вспомните настрой- На этапе выбора диска для установ-
ки на рис. 2). Свободное место на дис- ки системы нужно выбрать создан-
ке необходимо резервировать заранее ный VHD-диск. Предупреждение о том,
под максимальный размер, так как при что система не может быть установле-
загрузке диск будет увеличен до дан- на на данный диск, можно проигнори-
ного размера. Скорость работы с VHD ровать, установка все равно пройдет
фиксированного размера будет выше, успешно. После установки на этапе за-
так как он менее подвержен фрагмен- грузки вы можете выбрать новую опе-
тации. Рекомендуемый минимальный рационную систему, установленную
размер диска – 7024 Мб. на VHD-диске.
Некоторые из приведенных огра- Более подробно о работе с VHD-
ничений показались мне несколько дисками вы можете узнать из докла-
странными (например, невозможность да на сайте [2].
загрузки со съемного носителя). Хо-
чется верить, что в финальной версии Заключение
Microsoft исправит недостатки. В целом, впечатление от новой опе-
Итак, приступим к созданию загру- рационной системы сложилось поло-
жаемого VHD-диска с операционной жительное. Windows Vista, наделав-
системой. Сначала необходимо соз- шая несколько лет назад много шума,
дать VHD-диск с помощью действий, на деле оказалась довольно громозд-
приведенных выше. Для этого нам по- ким решением, требовательным к ап-
требуется сначала загрузиться с дис- паратным ресурсам. В Windows 7 эти
ка с дистрибутивом Windows 7. недостатки смогли исправить, улучшив
В первом же окне установки не- работоспособность и функционал.
обходимо запустить командную стро- Однако разработчикам еще есть
ку с помощью комбинации клавиш над чем поработать, так что будем
<Shift>+<F10>. В открывшемся окне не- ждать выхода новых релизов опера-
обходимо запустить утилиту diskpart. ционной системы.
Далее:
1. http://www.windxp.com.ru/win7/winfag.
сreate vdisk file="путь к файлу" ↵ htm – Материал по Windows Vista.
type=fixed maximum=размер диска
2. http://www.techdays.ru/videos/1237.html –
Затем: презентации по VHD в Windows 7.
Реклама
15
Основные изменения в WAIK
для Windows Server 2008 R2/7
Сергей Яремчук

Одновременно с выходом бета-версий операционных систем Windows 7 и Windows

Server 2008 R2 были представлены и обновленные инструменты, среди которых – Windows AIK,
с особенностями которого мы и познакомимся в статье.
П
акет автоматической установ-
ки Windows (WAIK, Windows
Automated Installation Kit) позво-
ляет упростить развертывание опера-
ционных систем Windows за счет интег-
рации приложений, драйверов в уста-
новочный образ и автоматизации са-
мой установки системы. В зависимос-
ти от ОС, которую планируется раз-
вертывать, следует подбирать и вер-
сию WAIK. Предыдущий релиз пакета
назывался «Пакет автоматической ус-
тановки (AIK) для Windows Vista с па-
кетом обновления 1 (SP1) и Windows
Server 2008», на работу с которыми он
собственно и был рассчитан. Уже в нем
появились нововведения по сравне-
нию с версией для XP. В частности
WIM-файл (Windows Image), который
поддерживает редактирование и мо-
жет содержать несколько образов ОС.
Плюс единый файл ответов в форма-
те XML, избавлявший от путаницы. Вы-
ход Windows 7 потребовал и обновле-
ния соответствующих инструментов –
WAIK и Microsoft Deployment Toolkit 2010
Beta (ранее пакет MDT назывался
Business Desktop Deployment). Утилиты
из старой версии отказались работать
с новыми сервисными функциями.
Версия Windows Automated
Installation Kit (Windows 7 Beta), как по-
казывает название, ориентирована
на развертывание Windows 7, а так-
же Windows Server 2008 R2. Устано-
вить пакет можно на Windows Server
2003SP1/VistaSP1/2008/2008R2/7. Тра-
диционно WAIK распространяется бес-
платно, установочные файлы в виде
DVD ISO-образа можно свободно ска-
чать с сайта корпорации Microsoft [1].
Состав WAIK
В состав обновленного комплекта
WAIK входит несколько уже традици-
онных инструментов:
n WinPE (Microsoft Windows
Preinstallation Environment, среда
предустановки Windows) – загру-
зочная версия системы, является
основой при развертывании ОС,
можно настроить при помощи ути-
лит из состава WAIK;
n набор утилит PETools – ImageX,
PEimg и Expand, при помощи кото-
рых создаются и модифицируются
эталонные образы Windows, в том
числе интегрируются драйверы, об-
новления и языковые пакеты;
№4, апрель 2009
Изменения в WAIK видны уже начиная с загрузочного меню
n Windows System Image Manager
(Windows SIM, диспетчер образов
системы Windows) – графичес-
кий инструмент, предназначен-
ный для создания файлов отве-
тов, файлов каталога для управ-
ления компонентами ОС, интегра-
ции драйверов, установки допол-
нительных пакетов и приложений
и так далее;
n Pkgmgr (Package Manager, менед-
жер пакетов) – командная утилита,
позволяющая создать новый па-
кет (драйвера, языковый) и вклю-
чить его в образ для автоматичес-
кой установки в процессе развер-
тывания.
Плюс в комплект входит докумен-
тация и дополнительные пакеты, необ-
ходимые для установки WAIK в некото-
рых системах.
Самым заметным изменением ста-
ло появление в составе комплекта двух
новых инструментов: средства мигра-
ции пользовательской среды USMT 4.0
(User State Migration Tool) и команд-
ной утилиты DISM (Deployment Image
Servicing and Management).
Удалён пакет установки слу ж-
бы развертывания Windows – WDS
(Windows Deployment Services), предна-
значенный для обновления RIS. Учиты-
вая, что WDS является одной из ролей
в Windows 2008, включать его в WAIK
уже нет необходимости. Теперь рас-
смотрим использование новинок под-
робнее.
Утилита DISM
Новая утилита DISM, входящая по-
мимо WAIK и в поставку Windows
2008R2/7, при работе с образами
Windows 2008R2/7 заменяет, как ми-
нимум, три утилиты из состава WAIK:
Pkgmgr, PEimg и Intlcfg (International
Settings Configuration Tool), плюс мо-
жет использоваться в настройке ра-
бочей системы. К слову, перечислен-
ные утилиты никуда не делись, поэто-
му ничто не мешает не менять при-
вычек и использовать старые коман-
ды. DISM позволяет добавлять, обнов-
лять, удалять и получать список драй-
веров и пакетов, в том числе и языко-
вых, включать/отключать компонен-
ты системы, работать с образами сис-
темы и производить некоторые дру-
гие операции.
DISM также работает и с WIM-фай-
лами Vista и Windows Server 2008 (без
R2), но нужно быть готовыми, что в этом
случае и при использовании WAIK в ОС,
отличных от Windows 2008R2/7, часть
функций будет недоступна. Правда что-
то испортить не получится, так как если
параметр не поддерживается, пользо-
ватель получает сообщение об ошиб-
ке. Например, в Vista и Server 2008
не работает ключ /Online, указываю-
17
щий, что команду необходимо выполнить в рабочей ОС,
а не с образом. Например:
PETools> DISM /Online /Get-Packages
Получаем:
DISM does not support servicing Windows Vista or Windows Server 2008
with the /Online Options.
Формат самой команды и вывода результата в DISM су-
щественно отличается от используемых ранее. Общий син-
таксис DISM такой:
DISM.exe {/image:<path_to_image> | /online} [dism_options] ↵
{servicing_command} [<servicing_argument>]
Например, чтобы получить информацию о WIM-образе,
при помощи ImageX вводим:
PETools> imagex /INFO d:\sources\install.wim
В ответ получали:
<IMAGE INDEX="1">
<NAME>Windows Vista BUSINESS</NAME>
С использованием DISM команда и результат выгля-
дят так:
PETools> DISM /Get-WimInfo /WimFile:d:\sources\install.wim
Index : 1
Name : Windows Vista BUSINESS
Если нужно обратиться к определенному образу (на-
пример, первому), следует использовать дополнительный
ключ /index:1.
Ключей в DISM используется достаточно много, при по-
мощи /? можно увидеть лишь самые востребованные, кроме
DISM имеет достаточно много различных параметров
18
этого каждый ключ также имеет дополнительные парамет-
ры. В документации WAIK расписаны все основные момен-
ты по использованию DISM в различных ситуациях. Разбе-
рем некоторые из команд, чтобы увидеть разницу.
Образ перед использованием следует смонтировать:
PETools>DISM /Mount-Wim /WimFile:d:\sources\install.wim ↵
/index:1 /MountDir:c:\img
Поддерживается также и ключ /ReadOnly, показываю-
щий, что монтировать нужно только в режиме для чтения.
Для получения списка различных составляющих системы
следует использовать соответствующий ключ: Get-Drivers
(драйвера), Get-Features (компоненты), Get-Packages (паке-
ты, обновления), Get-Intl (установки локализации).
PETools> DISM /Image:c:\img /Get-Drivers | more
PETools> DISM /Image:c:\img /Get-Features | more
Теперь, чтобы узнать подробнее о конкретном драйве-
ре, вводим:
PETools> DISM /Get-DriverInfo /driver:oem1.inf
Это для установленного драйвера, иначе следует ука-
зать полный путь к файлу.
Команды можно использовать и в рабочей системе:
PETools>DISM /Online /Get-Features | more
Теперь, получив нужные названия, отключаем встроен-
ные игры и активируем роль веб-сервера IIS:
PETools> DISM /Online /Disable-Feature:InboxGames
PETools> DISM /Online /Enable-Feature ↵
/FeatureName:IIS-WebServerRole
Для установки или удаления пакетов используется соот-
ветственно Add-Packages и Remove-Package. Но DISM под-
держивает работу только с .cab-, .msu-
и .inf-файлами. Для установки .msi сле-
дует использовать OCSetup, сервис-
паков – Windows Update Stand-alone
Installer (Wusa.exe).
По окончании работы образ следу-
ет размонтировать:
PETools> DISM /Unmount-Wim ↵
/MountDir:c:\img /commit
Если сохранять изменения не пла-
нируется, то вместо /commit использу-
ем /discard. То есть общий принцип ра-
боты с образами остался неизменным.
Но теперь как к образу, так и к рабочей
машине можно применить файл отве-
тов с настройками:
> DISM /Online /Apply-Unattend: ↵
C:\answerfiles\unattend.xml
Параметров у DISM действительно
много, причиной появления этой ути-
литы, скорее всего, является желание
разработчиков дать пользователю уни-
версальный инструмент.

Возможности USMT 4.0

Набор программ USMT предназначен
для настроек ОС, приложений и фай-
лов, индивидуальных настроек поль-
зователей во время переустанов-
ки или при масштабном развертыва-
нии ОС. Как результат ее примене-
ния весь процесс происходит быстрее
и проще, а пользователь в новой сис-
теме сразу попадает в знакомую среду.
USMT 4.0 поддерживает только деск-
топные Windows XP/Vista/7 (за исклю-
чением редакций Starter). Попытка за-
пуска одной из утилит набора в сервер-
ной ОС приведет к ошибке Unsupported
OS version. Возможна миграция с 32
на 64-битные системы, но наоборот
нельзя (очевидно, в этом уже и нет ос- Получаем список драйверов при помощи DISM
трой необходимости).
Вся работа с USMT состоит в использовании двух ути- В сценарии Config.xml (автоматически создается при по-
лит ScanState (сбор файлов и параметров с исходного ком- мощи ScanState /genconfig) появились новые параметры
пьютера) и LoadState (восстановление среды). Теперь к ним и секции. Например, секция <HardLinkStoreControl> позво-
добавлена еще одна – UsmtUtils, при помощи которой мож- ляет настроить Hard Link Migration.
но получить список поддерживаемых алгоритмов шифро-
вания (/ec) или удалить жесткую ссылку из базы, сформи- <Policies>
<HardLinkStoreControl>
рованой ScanState (/rd). <fileLocked>
К ранее поддерживаемому 3DES, в список алгоритмов <createHardLink>c:\Users\* [*]</createHardLink>
<errorHardLink>C:\* [*]</errorHardLink>
шифрования данных, которые можно указывать в пара- </fileLocked>
метре /encrypt (ScanState) или /decrypt (LoadState), добав- </HardLinkStoreControl>
</Policies>
лен AES 128/192/256.
Но самым заметным нововедением USMT 4.0 являет- При этом:
ся так называемая миграция жестких ссылок (Hard Link n createHardLink – указывает на каталоги, для которых
Migration), активируемая параметром /hardlink. Суть ее та- жесткая ссылка создается в любом случае, даже если
кова. Ранее чтобы сохранить и перенести пользовательские файл заблокирован другим приложением;
данные, их вначале каталогизировали, переносили на дру- n errorHardLink – в таких каталогах ссылка на заблоки-
гой ресурс, а затем после установки ОС возвращали все об- рованный приложением файл может не создаваться.
ратно. Учитывая возможные объемы данных, которые хра-
нил пользователь, весь процесс занимал достаточно мно- Для контроля миграции файлов по определенным кри-
го времени и требовал к тому же дополнительного места териям (размер, время создания и модификации и так да-
для хранения информации. Теперь после ввода команды: лее) используется секция MigXmlHelper.FileProperties, поиск
определенных документов на компьютере может быть орга-
> ScanState c:\store /o /c /i: app.xml /i: user.xml ↵ низован при помощи MigXmlHelper.GenerateDocPatterns.
/nocompress /hardlink
Как видите, разработчики пошли по пути унификации
Вместо непосредственного копирования данных в ка- и упрощения использования пакета, что нельзя не при-
талоге c:\store создаются только жесткие ссылки. При пе- ветствовать. Те же, кому хоть раз пришлось работать
реносе ОС жесткий диск будет очищен, кроме файлов, за- с USMT, должны оценить использование миграции жест-
блокированных такими ссылками. В итоге объем копируе- ких ссылок вместо копирования больших объемов инфор-
мых данных и время, затраченное на развертывание сис- мации. В статье затронуты только основные изменения,
темы, значительно уменьшаются. появившиеся в пакете автоматической установки WAIK
Кроме этого, при использовании USMT уже не требует- для Windows 2008R2/7, более подробную информацию о ре-
ся обязательное подключение к домену, а запуск ScanState лизе можно получить на ресурсах TechNet [2].
можно производить из Windows PE. В связи с появлением
Hard Link Migration в команде ScanState предусмотрен но- 1. Бета-версия Windows AIK для Windows 7/2008R2 – http://
вый ключ /vsc, позволяющий задействовать службу тене- go.microsoft.com/fwlink/?LinkId=136976.
вого копирования (Volume Shadow Copy) для захвата забло- 2. Windows Automated Installation Kit for Windows 7 Beta – http://
кированных другими приложениями файлов. technet.microsoft.com/en-us/library/dd349343.aspx.

№4, апрель 2009 19

Автоматическая установка
Adobe Creative Suite 3
Иван Коробко

Несмотря на то что дистрибутивы компонентов

Adobe CS3 созданы на основе MSI,
инсталлятор всего пакета построен на основе
другой технологии, поэтому реализация
автоматической установки выбранных
заранее компонентов этого продукта имеет
ряд особенностей, о которых пойдет речь.
A
dobe CS3 достаточно большой
по размерам пакет, и специа-
листов системной поддержки
с администраторами больше волнует
вопрос не автоматической установки,
а выборочной автоматической уста-
новки. Это обусловлено тем, что ошиб-
ка в выборе перечня устанавливаемых
программ обойдется примерно в час
излишне потраченного времени. По-
этому стоит особое внимание уделить
выборочной установке пакета.

Аргументы файла
setup.exe
Традиционно мастер управления уста-
навливаемых компонентов запускает-
ся с помощью файла setup.exe, кото-
рый поддерживает следующие аргу-
менты:
n --record. Используется для созда- Рисунок 1. Пример файла ответов
ния файла ответов, принимает зна-
чение 0 или 1;
n --silent. Реализует установку при-
ложения в «тихом режиме»;
n --deployment. Обеспечивает уста-
новку с помощью созданного фай-
ла ответов.

Структура файла ответов

Файл ответов представляет собой
текстовый файл в формате XML. Как
любой XML-файл, он содержит стан-
дартный заголовок, в котором указа-
ны используемая версия языка и ко-
дировка файла (см. рис. 1).
Обратите внимание, что все конфи-
гурационные файлы для Adobe Creative
Suite имеют кодировку UTF-8.
Мастер установки по родитель-
скому тегу <Deployment> определяет,
что это файл ответов. В нем находят-
ся два тега, логически разделяющие Рисунок 2. Запись файла ответов
файл на две части. В первом теге –
<Properties> – описываются параметры установки (папка, C:\Program Files\ADOBE CS3</Property>
...
в которой будет находиться CS3, название продукта и т. д.), </Properties>
во втором – <Payloads> – компоненты (Photoshop, Illustrator,
Indesign и т. д.). К часто используемым параметрам можно отнести сле-
дующие:
Тег <Properties> n INSTALLDIR. Путь установки Adobe CS3.
В теге <Properties> содержатся параметры установки прило- n OS64BIT. Принимает значение 0 или 1. Если операцион-
жения. Каждый из них описывается тегом <Property>, в ко- ная система 64-битная (OS64BIT=1), то наряду с 32-бит-
тором название конкретного параметра указывается с по- ной версией Photoshop устанавливается 64-битная.
мощью свойства name, а значение присваивается тради- n StartMenuSubFolder. GUID компонента AdobeMasterColl
ционным способом (см. листинг 1). ectionSuiteen_US_Volume, отображаемого в папке «Уста-
новка и удаление программ», как Adobe Creative Suite 3
Листинг 1. Управление параметрами установки CS3 Master Collection. По умолчанию в Windows XP путь
<Properties> C:\Document and Settings\All Users\Start Menu\Programs\
<Property name="INSTALLDIR"> ↵ Adobe Master Collection CS3.

№4, апрель 2009 21


Рисунок 3. Местоположение файла ответов
n eula_EPIC_EULA_ACCEPTED. Всегда равен 1. Обоз-
начает, что пользователь ознакомился и согласен с ли-
цензионным соглашением.
n pers_EPIC_SERIAL. Серийный номер, хранящийся в за-
шифрованном виде.
Тег <Payloads>
В теге <Payloads> содержится список устанавливаемых
приложений. Каждое из них идентифицируется двумя те-
гами: <Payload>, описывающего приложение с помощью
GUID, и <Action>, указывающего производимую с ним
манипуляцию (install, remove). Для инсталляции Adobe
Photoshop СS3 (v. 10), которому соответствует GUID, рав-
ный {30C4B843-28DA-466F-AFCA-CB0ED153C826}, содер-
жимое тега <Payloads> описано в листинге 2.
Листинг 2. Управление устанавливаемыми компонентами CS3
<Payloads>
<Payload adobeCode = ↵
"{30C4B843-28DA-466F-AFCA-CB0ED153C826}">
<Action>install</Action>
</Payload>
...
</Payloads>
Создание файла ответов
Файл ответов можно создать вручную, однако наиболее оп-
тимальное решение – записать выполняемые действия мас-
тера установки в XML-файл. Для включения мастера в ре-
жиме записи необходимо выполнить команду «setup.exe
--record=1». Выполняемые действия ничем не будут отли-
чаться от обычной работы мастера: необходимо согласить-
ся с условиями лицензионного соглашения, затем ввести
серийный номер, сформировать список устанавливаемых
приложений, выбрать путь установки Adobe CS3. Исклю-
чение составляет последний шаг: вместо обычной кноп-
ки «Установить» будет отображена кнопка «[record] Уста-
новить» (см. рис. 2).
22
При ее нажатии вместо установки
приложения будут сформированы два
файла: один для его инсталляции, вто-
рой – для деинсталляции. В обоих фай-
лах содержимое <Properties> идентич-
но, а <Payloads> отличается тем, что
значение в теге <action> с install ме-
няется на remove. Местоположение
файлов показано на последнем ша-
ге (см. рис. 3).
Использование файла
ответов
Файл для автоматического удаления
приложения используется достаточно
редко, поэтому его можно удалить. Уде-
лим особое внимание файлу, обеспе-
чивающему автоматическую установ-
ку пакета. Его имя произвольно, поэто-
му присвоим ему более короткое имя –
deployment.xml. Расположение файла
также не имеет значения. Для удобс-
тва использования рекомендуется поместить его в один
каталог с файлом setup.exe (см. рис. 4), обеспечивающим
запуск мастера установки: --mode=Silent --deploymentFile=
Deployment.xml. Рекомендуется эту команду поместить в ко-
мандный файл, при этом необходимо помнить, что он дол-
жен запускаться с сетевого хранилища.
Приведенный на рис. 4 листинг командного файла име-
ет особенности: поскольку установка выполняется в «ти-
хом» режиме, то трудно понять, завершен процесс уста-
новки или нет. Воспользуемся свойством установки воз-
вращать код ошибки по завершении процесса и командой
«Start / Wait», которая будет выводить CMD-консоль, пока
работа мастера не закончится. Команда pause позволит
увидеть код ошибки.
Заключение
К сожалению, официальная документация [1] расходится
с действительностью, тому свидетельство – многочислен-
ные форумы на эту тему. Я надеюсь, что, прочитав статью,
на все вопросы по автоматической установке Adobe CS3
вам удастся найти ответ.
1. Enterprise Deployment Options for Adobe® Creative Suite 3
Editions and Components – http://www.adobe.com/support/
deployment/cs3_deployment.pdf.
Рисунок 4. Использование файла ответов при установке CS3
 «10-Страйк» – незаменимые программы
для системных администраторов
«10-Страйк: Инвентаризация Компьютеров» – про-
грамма для учёта программного и аппаратного обеспе-
чения на компьютерах в локальных сетях. Администра-
тор сети может легко создать базу данных оборудова-
ния и программ, установленных на компьютерах, чтобы
всегда иметь под рукой эту важную информацию.
Нажав пару кнопок, администратор может создать отчё-
ты с конфигурациями компьютеров, списками установ-
ленных программ, ОС, и лицензий к ним. В программу за-
ложены десятки шаблонов отчётов, можно создать собс-
твенные отчёты любой конфигурации, включая сводные
таблицы. «Инвентаризация Компьютеров» имеет раз-
витые средства подсчёта и контроля лицензий програм-
много обеспечения.
При повторных проверках компьютеров программа срав-
нивает новую информацию с уже имеющимися данны-
ми и заносит изменения в отдельный журнал. Таким об-
разом, можно легко увидеть, какие программы были до-
бавлены или удалены пользователями, какое железо бы-
ло унесено домой.
Системный администратор имеет возможность просмат-
ривать папки автозагрузки, списки процессов и служб
на компьютерах пользователей, обнаруживать вредо-
носные программы.
При планировании апгрейдов программа позволяет соз-
дать отчёты, содержащие списки компьютеров с недоста-
точным объемом дисковой или оперативной памяти.
Сбор информации возможен как средствами WMI без ус-
тановки дополнительных программ на удаленные ком-
пьютеры (при наличии прав администратора), так и с по-
мощью вспомогательных программ и служб. Для более
тщательного анализа администратор может выгрузить
данные во внешнюю базу данных.
Таким образом, программа «10-Страйк: Инвентариза-
ция Компьютеров» позволяет администратору всегда
быть в курсе происходящего на подотчётных компьюте-
рах, контролировать безопасность и лицензионную чис-
тоту программ, создавать отчёты.
10-Strike LANState – программа мониторинга серверов
и компьютеров в сети, позволяющая визуально наблю-
дать текущее состояние сети в любой момент времени.
Администратор может вовремя узнать о произошедшем
сбое (разрыв связи, завершение места на диске серве-
ра, останов службы, и т. п.) и устранить проблему с ми-
нимальными потерями времени. LANState отслеживает
состояние хостов, папок, файлов, баз данных, процессов
и служб на компьютерах сети. Дополнительно админист-
ратор сети может использовать собственные скрипты
в качестве проверок и даже контролировать различные
переменные в управляемых коммутаторах по протоко-
лу SNMP. Программа сигнализирует о неполадках с по-
мощью звука, экранных сообщений, по e-mail, может за-
пускать внешние программы и службы, а также перезаг-
ружать компьютеры для устранения неполадок.
Но это еще не всё. LANState
содержит развитые средства
администрирования удален-
ных компьютеров: включе-
ние и выключение компью-
теров, получение различ-
ной информации (списки
программ, доступ к реестру,
event log и т. п.), рассылка со-
общений. Pro-версия программы имеет встроенный веб-
сервер для удаленного доступа к карте сети.
«10-Страйк: Мониторинг Сети» – следит за хостами се-
ти и оповещает о неполадках, как и LANState, но не име-
ет графической карты и работает в виде службы.
«10-Страйк: Схема Сети» – обнаруживает сетевые уст-
ройства и строит карту-схему сети. Используя SNMP-
протокол, программа сама нарисует связи между уст-
ройствами.
10-Strike Network File Search – позволяет искать фай-
лы в локальной сети (в сетевых папках и на FTP-серве-
рах), в том числе в скрытых административных ресур-
сах. Новая версия 1.6 под-
держивает поиск фраз внут-
ри файлов.
Pro-версия осуществляет
циклический мониторинг,
заносит найденные файлы
в лог, может удалять най-
денные файлы (например,
вредоносные программы),
а также содержит веб-сервер для просмотра списка най-
денных файлов удаленными пользователями.
10-Strike Connection Monitor – программа мониторинга
подключений к общим папкам, позволяет узнать, кто, ког-
да и что скачивал. Программа ведет лог подключений
и оповещает администратора о различных событиях. Pro-
версия программы реализована в виде службы.
Дмитрий Степанов
***
Для всех программ доступны для скачивания
оценочные русскоязычные версии (под Windows)
по адресу: http://www.10-strike.com/rus.
Реклама
Делегируем права на перемещение
учетных записей пользователей
в Active Directory
Часть 2. Реализация основных функций

Вадим Андросов

В этой части статьи на примере создания надстройки нестандартного делегирования

административных полномочий для Windows 2003 Server рассмотрим методики разработки
классов COM на языках сценариев (VBScript). Также подробно рассмотрим программный
доступ к спискам контроля доступа (ACL).
Главный класс надстройки
Итак, было решено разбивать процесс переноса пользова‑
телей на этапы: извлечение из целевого отдела, ожидание
принятия в целевой отдел, принятие в целевой отдел. Кро‑
ме того, важную роль играет еще один необязательный этап:
отмена перевода пользователя на этапе ожидания.
В соответствии с этими этапами и будем разрабаты‑
вать необходимые функции.
Предлагаемая надстройка является достаточно слож‑
ной, и в ходе ее реализации потребуется разработать ряд
функций. Этим подпрограммам понадобятся общие дан‑
ные (например, объект пользователя – менеджера по пер‑
соналу).
Одно из решений – использовать глобальные перемен‑
ные, однако разрабатывается библиотека базовых функ‑
ций, которые будут использоваться в надстройке. Способ
их использования пока до конца не ясен, поэтому реали‑
зовывать библиотечные функции, зависящие от контекс‑ Рисунок 1. Подключение библиотеки типов в VBA
та, опасно.
Так, потребуется создать функцию инициализации кон‑ ся с необходимостью использования большого количест‑
текста, а потом не забыть ее вызвать. Также не исключена ва констант ADSI. Раньше, когда их требовалось 2‑3 шту‑
ситуация, что могут потребоваться функции, работающие ки, особой проблемы не было. Достаточно было найти
на основе разных контекстов. в MSDN [1] значения этих констант и заново объявить их
Чтобы прочно и относительно безопасно связать функ‑ в сценарии в виде:
ции с глобальным по отношению к ним контекстом, нужно
оформить библиотеку в виде класса. В этом случае мож‑ Const ADS_RIGHT_DS_DELETE_CHILD = 2
но создавать и затем спокойно использовать любое коли‑
чество его объектов. Назвав их таким же образом, как это было сдела‑
Подробно процесс оформления и регистрации сцена‑ но в стандартных библиотеках, можно было без проблем
риев в виде COM‑классов описан в [3]. пользоваться примерами программ из документации. Од‑
Так будет выглядеть общий каркас разрабатываемо‑ нако такое переопределение стандартных констант явля‑
го класса: ется очень опасной практикой.
Существуют более цивилизованные методы решения
Листинг 1. Каркас класса UserMove.Engine этой проблемы. В VBA это делалось посредством подклю‑
<?xml version="1.0"?> чения необходимой библиотеки (см. рис. 1). Для ADSI она
<component> называется Active DS Type Library.
<registration
description="User moving routines" После этой операции можно пользоваться всеми кон‑
progid="UserMove.Engine" стантами ADSI, не объявляя их самостоятельно. То же са‑
version="1.00"
classid="{5452eeea-6f5e-42e0-b6ce-b99184ea0f68}" мое можно сделать и в сценариях WSH с помощью тега
> reference. Только он требует указания не имени библиоте‑
</registration>
<public> ки, а ее идентификатора (GUID), который можно получить,
‘методы, доступные пользователям класса используя специальные утилиты. Например, для этого мож‑
</public>
<reference guid="{97D25DB0-0363-11CF-ABC4-02608C9E7553}"/> но воспользоваться программой Microsoft OLE/COM Object
<object id="info" progid="ADSystemInfo"/> Viewer, которая поставлялась в комплекте еще с Visual
<script language="VBScript">
<![CDATA[ Studio версии 6 (см. рис. 2).
‘объявление глобальных переменных (контекста объекта) Теперь в сценарии также можно пользоваться констан‑
‘вызовы процедур инициализации объекта
‘реализация методов тами, определенными в библиотеке. Например, следующая
]]> строчка кода приведет к выводу на экран числа 2.
</script>
</component>
msgbox ADS_RIGHT_DS_DELETE_CHILD
Все методы, разрабатываемые в статье, будут поме‑
щаться в этот класс. Возможно и другое безопасное ре‑ Также интерес представляет тег:
шение – отказаться от контекста вовсе и передавать все
необходимое функции в виде параметров. Однако в этом <object id="info" progid="ADSystemInfo"/>
случае практически все функции требовали бы большого
количества параметров, что отрицательно сказалось бы С его помощью объявляется и инициализируется
на читабельности кода. глобальная переменная info класса ADSystemInfo. Того
Для начала обратим внимание на тег <reference же эффекта можно было бы достичь, написав в разделе
guid="…"/>. Начав разрабатывать функции, я столкнул‑ CDATA:

№4, апрель 2009 25


Рисунок 2. Получение GUID библиотеки
Dim info
Set info = CreateObject("ADSystemInfo")
Запись в виде тега позволяет наглядно и относительно
компактно определить глобально используемые объекты.
Ее преимущества проявляются разве что в случае исполь‑
зования различных языков сценариев при создании одно‑
го класса, когда всем им необходим доступ к одной пере‑
менной. Здесь я использовал ее исключительно в иллюст‑
ративных целях, чтобы показать, что так тоже можно.
Общие подпрограммы
Начнем с функции, которая будет отвечать на вопрос, а име‑
ет ли текущий пользователь (предполагаемый менеджер
по персоналу) права на манипуляции необходимыми объ‑
ектами. Такие проверки придется делать достаточно час‑
то, чтобы выбрать правильный режим функционирования
надстройки.
Для начала определимся, что это за необходимые объ‑
екты. Для нашей надстройки это экземпляры классов поль‑
зователь (user), команда (UserMoveCommand), команда от‑
мены операции (UserMoveDenyCommand) и команда нача‑
ла перемещения (UserMoveStartMoveCommand).
Чтобы избежать трудноуловимых ошибок, имена всех
классов запишем в соответствующие константы.
Листинг 2. Константы названий классов надстройки
Const ROOM_CLASS = "UserMoveWaitingRoom"
Const START_MOVE_COMMAND_CLASS = "UserMoveStartMoveCommand"
Const DENY_COMMAND_CLASS = "UserMoveDenyCommand"
Const COMMAND_CLASS = "UserMoveCommand"
Const CHAIR_CLASS = "UserMoveChair"
Const LINK_CLASS = "UserMoveChairLink"
Во‑первых, пользователь должен иметь права на до‑
бавление и удаление пользователей из организационной
единицы. Как выяснилось, для этого необходимо разре‑
шение:
n Добавлять и удалять дочерние объекты перечисленных
типов в организационную единицу (см. рис. 3).
n Право записи свойств объектов. Наличия только преды‑
дущего набора прав не достаточно для переноса объ‑
ектов пользователей из одной организационной еди‑
26
ницы в другую. Дело в том, что в объ‑
екте хранится ссылка на контейнер,
и нужно иметь право на ее измене‑
ние. Право на запись всех свойств
пользователей является явно избы‑
точным для операции переноса, одна‑
ко вполне оправдано для других опе‑
раций, которые входят в обязанности
менеджера по персоналу. Поэтому я
решил не искать здесь более «тонко‑
го» способа наделения полномочиями
(см. рис. 4).
Поскольку требуется написать под‑
программу проверки наличия прав ра‑
боты с несколькими типами объектов,
их удобно сгруппировать в один мас‑
сив. Инициализироваться он будет
один раз при создании экземпляра класса надстройки.
Рассмотрим метод, который это делает.
Листинг 3. Метод инициализации основного класса надстройки
sub initialize()
timeZoneOffset = "?"
set re = new Regexp
re.ignoreCase = True
re.global = True
delegationClasses = Array(getClassGUID("user"), ↵
getClassGUID(COMMAND_CLASS), ↵
getClassGUID(DENY_COMMAND_CLASS), ↵
getClassGUID(START_MOVE_COMMAND_CLASS))
end sub
Итак, можно видеть, что массив, содержащий классы
для проверки, называется delegationClasses. Также в этом
методе инициализируется ряд вспомогательных перемен‑
ных, используемых в других методах класса. Конечно, все
они должны быть объявлены выше.
dim timeZoneOffset, re, delegationClasses
Затем нужно не забыть вручную вызвать метод иници‑
ализации, потому что автоматически этого, к сожалению,
не происходит.
Initialize
Этот вызов просто записывается выше всех объяв‑
лений функций. В массиве хранятся идентификаторы
классов, так как при анализе списка контроля доступа
необходимы будут именно они. GUID класса пользовате‑
ля можно найти в MSDN [1]: {BF967ABA‑0DE6‑11D0‑A285‑
00AA003049E2}.
Но для наших классов его там, естественно, нет. При‑
чем это не тот идентификатор, который генерировал‑
ся при создании классов [4]. Для получения GUID класса
по его имени пришлось написать специальную функцию.
Рассмотрим ее.
Листинг 4. Определение GUID класса
function getClassGUID(className)
dim classObj
 set classObj = getObject("LDAP://schema/" & className)
getClassGUID = GUID2Str(classObj.schemaIDGUID)
end function
Функция подключается к объекту заданного класса, ис‑
пользуя провайдер LDAP. Например, путь к классу поль‑
зователя имеет вид LDAP://schema/user. Желанный иден‑
тификатор хранится в свойстве schemaIDGUID получен‑
ного объекта. Однако он имеет тип Octet String, который
в VBScript не поддерживается. Для его преобразования
в обычную строку используется функция GUID2Str. Рас‑
смотрим теперь ее.
Листинг 5. Преобразование Octet String к обычной строке
Function GUID2Str(Guid)
Dim i, b(16)
For i = 1 To 16
b(i - 1) = Right("0" & Hex(Ascb(Midb(Guid, i, 1))), 2)
Next
GUID2Str = "{" & b(3) & b(2) & b(1) & b(0) & ↵
"-" & b(5) & b(4) & ↵
"-" & b(7) & b(6) & "-" & b(8) & b(9) & "-"
for i = 10 to 15
GUID2Str = GUID2Str & b(i)
next
GUID2Str = GUID2Str & "}"
End Function
Функция выглядит сумбурно, потому что писалась «ме‑
тодом тыка». С помощью первого цикла строка Octet String
превращается в массив байт b. Для этого с помощью функ‑
ции Midb из нее выделяется один байт в заданном мес‑
те, который потом преобразуется в число функцией Ascb
(возвращает первый байт переданного ей символа). Полу‑
ченное число переводится в шестнадцатеричный формат
(функция Hex), которому в начало добавляется 0. Послед‑
нее нужно потому, что каждый байт должен представлять‑
ся двузначным шестнадцатеричным числом (1A, FF, D5).
Поэтому когда получилось, скажем, F, то ему в начало до‑
бавляется 0. Если число сразу было двузначным, то ноль
станет третьим лишним символом, который будет отсечен
с помощью функции right.
Эксперименты с системными классами (для которых
мне был известен правильный идентификатор) показа‑
Рисунок 3. Права на создание дочерних объектов пользователей
№4, апрель 2009
ли, что порядок полученных байт в результате немного
меняется.
Получаемая строка состоит из 4‑х групп. В первую вхо‑
дят первые четыре байта исходной строки в обратном по‑
рядке, во вторую – 5‑й и 6‑й байты тоже в обратном (в про‑
грамме это 4‑й и 5‑й элементы массива, поскольку нуме‑
рация начинается с нуля), затем еще два байта в обратном
порядке, далее два байта в прямом порядке и, наконец,
последние 6 снова в прямом. Группы должны быть разде‑
лены дефисами. Весь идентификатор заключается в фи‑
гурные скобки.
Несмотря на способ написания и внешний вид, функ‑
ция корректно работает. Полученные с ее помощью иден‑
тификаторы дополнительных классов без проблем воспри‑
нимались системой.
Переменная re будет использоваться для работы с ре‑
гулярными выражениями, а timeZoneOffset – содержать
смещение временной зоны для текущего часового пояса.
Но это потом, а сейчас перейдем к методу проверки пол‑
номочий.
Листинг 6. Проверка прав управления подразделением
function canHeManageOU(ou, user)
dim canChange, canMoveChild, i
canHeManageOU = true
for i = 0 to UBound(delegationClasses)
canChange = canDo(ou, user, ↵
ADS_RIGHT_DS_WRITE_PROP, delegationClasses(i), true)
canMoveChild = canDo(ou, user, ↵
ADS_RIGHT_DS_DELETE_CHILD Or ↵
ADS_RIGHT_DS_CREATE_CHILD, ↵
delegationClasses(i), false)
canHeManageOU = canHeManageOU and ↵
(canChange And canMoveChild)
next
end function
Функции передается два параметра – объекты «Органи‑
зационная единица» и пользователя, права которого про‑
веряются. Функция очень простая, поскольку вся реальная
работа сосредоточена в более низкоуровневых подпрограм‑
мах, которые будут рассмотрены позже.
Рисунок 4. Право изменения свойств
объектов пользователей
27
 Вся работа метода сводится к последовательной про‑
верке необходимых прав для всех объектов массива
delegationClasses посредством вызовов функции canDo.
Сначала проверяется возможность изменения свойств
объектов (константа ADS_RIGHT_DS_WRITE_PROP), а за‑
тем – добавления и удаления пользователей из контейне‑
ра (комбинация констант ADS_RIGHT_DS_DELETE_CHILD
и ADS_RIGHT_DS_CREATE_CHILD). То есть всю полезную
работу выполняет функция canDo. Она является вспомога‑
тельной и в качестве открытого метода класса не использу‑
ется в отличие от canHeManagePath. Чтобы сделать его до‑
ступным пользователям класса, нужно добавить его в раз‑
дел public описания (см. листинг 1).
<method name="canHeManagePath">
<PARAMETER name="ouPath"/>
<PARAMETER name="whoPath"/>
</method>
Метод представляет собой простую обертку для функ‑
ции canHeManageOU (см. листинг 6), которая получа‑
ет в качестве параметров не сами объекты, а пути к ним
(ADSI Path).
Листинг 7. Проверка наличия прав управления организационной
единицей
function canHeManagePath(ouPath, whoPath)
dim ou, user
set ou = getObject(ouPath)
set user = getObject(whoPath)
canHeManagePath = canHeManageOU(ou, user)
end function
В подпрограмме создаются экземпляры необходимых
объектов и вызывается canHeManageOU. Также в классе
определено еще два метода‑обертки для canHeManageOU,
позволяющих проверять права доступа к организационной
единице текущего пользователя.
Листинг 8. Дополнительные функции проверки прав
function canCurrentManagePath(ouPath)
dim ou
set ou = getObject(ouPath)
canCurrentManagePath = canCurrentManageOU(ou)
end function
function canCurrentManageOU(ou)
dim user
set user = getObject("LDAP://" & info.userName)
canCurrentManageOU = canHeManageOU(ou, user)
end function
Здесь info – глобальный объект типа ADSystemInfo (см. лис-
тинг 1). Его свойство username содержит путь к объекту те‑
кущего пользователя.
Далее перейдем к реализации функций для работы
с ACL. Список контроля доступа (Access Control List) со‑
поставлен каждому объекту Active Directory, он состоит
из набора записей (Access Control Entry или ACE), кото‑
рые собственно и определяют уровень доступа пользова‑
теля или группы к ресурсу. Эта тема достаточно обширна,
при необходимости получить дополнительную информа‑
цию можно из соответствующих источников [1, 2]. Windows
предоставляет графические средства редактирования ACL
(см. рис. 3).
28
Подробно рассмотрим работу функции canDo. Ей пере‑
дается три параметра:
n oper. Проверяемая операция. То есть то действие, воз‑
можность выполнения которого требуется проверить.
Для обозначения действий используются константы
из библиотеки Active DS Type Library.
n targetClass. Идентификатор целевого класса, допусти‑
мость работы с объектами которого проверяется.
n isInherited. Параметр логического типа. Запись конт‑
роля доступа может описывать как разрешения, отно‑
сящиеся непосредственно к объекту, к которому при‑
креплен ACL, так и его непосредственным потомкам.
Разрешение на добавление и удаление пользовате‑
лей из организационной единицы, это относится к кон‑
тейнеру, поэтому значение этого параметра будет ис‑
тинно. В то же время право на изменение свойств вло‑
женных объектов уже относится скорее к ним, чем
к организационной единице. В этом случае значение –
ложь. На что влияет параметр, станет понятно из реа‑
лизации.
function canDo(oper, targetClass, isInherited)
canDo = false
Dim sec, acl, ace
В начале работы функция осуществляет привязку к спис‑
ку контроля доступа организационной единицы. Для этого
нужно сначала подключиться к объекту ntSecurityDescriptor
организационной единицы, а затем уже с его помощью по‑
лучить список DiscretionaryAcl.
Set sec = ou.Get("ntSecurityDescriptor")
Set acl = sec.DiscretionaryAcl
dim result
Затем нужно проверить все записи (ace) списка. Удоб‑
нее всего это делать с помощью оператора цикла For
Each, основное предназначение которого как раз обход
коллекций.
Проверка каждой записи осуществляется с помощью
функции checkACE, которая возвращает одну из трех кон‑
стант (эти константы определяются в классе, их конкрет‑
ные значения могут быть любыми, лишь бы разными, у ме‑
ня это было 1, 2 и 3):
n CHECK_ACE_SKIP. Проверенная запись контроля дос‑
тупа не относится ни к проверяемому пользователю,
ни к содержащей его группе. Или же запись относит‑
ся к нужному пользователю, но управляет несущест‑
венными в данном контексте правами, то есть не соот‑
ветствующими параметру oper. Такие записи при про‑
верке игнорируются.
n CHECK_ACE_YES. Запись относится к проверяемо‑
му пользователю и разрешает действие, заданное
в oper.
n CHECK_ACE_NO. Запись относится к проверяемо‑
му пользователю и запрещает действие, заданное
в oper.
Встретив разрешение или запрет операции, функция
сразу завершает работу, возвращая соответствующий ре‑
зультат. Дальше проверять список нет необходимости. Опе‑
рационной системой гарантируется, что запись о явном за‑
прете встретится раньше разрешения. Так что, встретив за‑
пись с разрешением, можно быть уверенным, что далее за‑
писи с запретом этой же операции уже не будет.
For Each ace In acl
result = checkACE(ace, oper, targetClass, isInherited)
if result <> CHECK_ACE_SKIP then
canDo = (result = CHECK_ACE_YES)
exit function
end if
Next
end function
Функция checkACE в качестве первого параметра при‑
нимает проверяемую запись списка контроля доступа, ос‑
тальные параметры передаются от canDo.
Приведенная функция также не относится к самому
низкому уровню реализации, она использует подпрограм‑
му проверки записи контроля доступа checkACE. Рассмот‑
рим теперь и эту функцию.
Логика ее работы и возвращаемые значения уже бы‑
ли описаны выше, поэтому расскажу об особенностях ре‑
ализации.
function checkACE(ace, oper, targetClass, isInherited)
checkACE = CHECK_ACE_SKIP
if not isTrusteeInteresting(ace.Trustee) then exit function
Сначала функция проверяет свойство Trustee записи
контроля доступа. Оно определяет субъект доступа, к ко‑
№4, апрель 2009
торому относится запись. Функция продолжает работу
только в том случае, если это или пользователь, права ко‑
торого сейчас проверяются, или группа, содержащая это‑
го пользователя.
В противном случае функция возвращает константу
CHECK_ACE_SKIP, извещающую о том, что текущую за‑
пись нужно пропустить.
dim classGUID
if isInherited then
classGUID = ace.InheritedObjectType
else
classGUID = ace.ObjectType
end if
Затем в зависимости от значения параметра isInherited
определяется объект доступа. Это или дочерние объекты
(используется при проверке прав на добавление и удале‑
ние объектов пользователей в организационной единице),
или текущий объект (проверка возможности изменения
свойств пользователей).
Объект доступа в данном случае – это идентификатор
класса, права на манипуляции экземплярами которого пре‑
доставляются.
if isMask(ace.accessMask, oper) then
Дальнейшая работа будет выполнена только в том слу‑
чае, если текущая запись контроля доступа описывает про‑
веряемые права. Нужно убедиться с помощью функции
isMask, работа которой будет рассмотрена ниже, что за‑
Реклама
29
пись содержит информацию о необходимой операции (па‑ Однако сначала нужно убедиться, что запись содер‑
раметр функции oper). жит в поле trustee объект, относящийся к проверяемому
домену. Дело в том, что кроме записей для пользователей
if ace.AceType = ADS_ACETYPE_ACCESS_DENIED then и групп существуют специальные экземпляры, описываю‑
checkACE = CHECK_ACE_NO
exit function щие доступ для различных системных объектов (например,
end if NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS),
if ace.AceType = _ которые при решении текущей задачи нужно пропускать.
ADS_ACETYPE_ACCESS_ALLOWED then Функция завершает работу и возвращает ложь (это зна‑
checkACE = CHECK_ACE_YES
exit function чит, что текущая запись «не интересна»), если в значении
end if Trustee не содержится имени домена.

Далее проверяем, что целевой объект представляет со‑ set trusteeObj = getObject("WinNT://" & ↵
replace(trustee, "\", "/"))
бой интересующий нас класс (его идентификатор переда‑
ется в качестве параметра функции). Затем происходит привязка к объекту Trustee. Обрати‑
те внимание, здесь я использую провайдер WinNT. Он ме‑
if classGUID = targetClass then нее функционален, чем LDAP, однако в данном случае бо‑
if ace.AceType = _
ADS_ACETYPE_ACCESS_DENIED_OBJECT then лее удобен, так как позволяет привязываться к объектам,
checkACE = CHECK_ACE_NO игнорируя их положение в структуре предприятия. В на‑
exit function
end if личии имеется только имя Trustee в домене. Чтобы вос‑
пользоваться провайдером LDAP потребовалось бы сна‑
if ace.AceType = _
ADS_ACETYPE_ACCESS_ALLOWED_OBJECT then чала произвести поиск объекта в иерархии, чтобы устано‑
checkACE = CHECK_ACE_YES вить его отличительное имя (DN), что в данной ситуации
exit function
end if обернулось бы только неоправданным разрастанием ко‑
да. Функция replace требуется здесь для того, чтобы при‑
end if
end if вести имя Trustee к виду, пригодному для привязки с по‑
end function мощью провайдера WinNT. Собственно оно почти подхо‑
дит, за исключением того, что нужно заменить обратный
Основная логика работы уже рассмотрена, осталось слеш на прямой.
только несколько вспомогательных функций. isMask –
функция логического типа, возвращает истину, если в по‑ if trusteeObj.class = "Group" then
ле (первый параметр) установлен заданный флаг (второй
параметр): Далее, если Trustee – группа (еще это может быть прос‑
то другой пользователь), нужно проверить с помощью ме‑
function isMask(mask, flag) тода isMember принадлежит ли ей текущий пользователь,
isMask = (mask and flag) <> 0
end function если принадлежит, то функция возвращает истину.

Рассмотрим последнюю вспомогательную функцию – if trusteeObj.isMember("WinNT://" & ↵

info.domainShortName & "/" & ↵
isTrusteeInteresting. Она возвращает истину, если субъект user.samAccountName) then
доступа записи контроля доступа относится к проверяе‑ isTrusteeInteresting = true
exit function
мому пользователю. end if
end if
function isTrusteeInteresting(trustee) end function
isTrusteeInteresting = false
Итак, в этой части статьи были рассмотрены вопросы
if trustee = (info.domainShortName & "\" & ↵ создания класса COM на языке программирования сценари‑
user.samAccountName) then
isTrusteeInteresting = true ев. Также были освещены базовые аспекты работы со спис‑
exit function ками контроля доступа. В следующей статье будет продол‑
end if
жена разработка надстройки. Будет реализована програм‑
Пользователь содержится в поле trustee записи конт‑ мная модификация списков контроля доступа и автомати‑
роля доступа в виде «ДОМЕН\ПОЛЬЗОВАТЕЛЬ». Провер‑ ческое делегирование полномочий.
ку этого случая и осуществляет первый условный опера‑
тор. Если пользователь совпал с проверяемым, функция 1. msdn.microsoft.com.
завершает работу, возвращая истину. 2. Чарли Рассел, Шарон Кроуфорд, Джейсон Джеренд. «Windows
Однако одной такой проверки недостаточно: запись мо‑ server 2003 +SP1 и R2. Справочник администратора». – М.: Из‑
жет относиться не только к пользователю, но и к содержа‑ дательство «ЭКОМ», 2006 г. – 1424 с.
щей его группе. 3. Don Jones, Jefferey Hicks. «Advanced VBScript for Microsoft
Windows Administrators». – Washington: Microsoft Press, 2006 г.
dim trusteeObj 4. Андросов В. Делегируем права на перемещение учетных за‑
if instr(1, Trustee, ↵
info.domainShortName) <> 1 then exit function писей пользователей в Active Directory. Часть 1. Постановка
задачи. //Системный администратор, №2, 2009 г. – С. 16‑21.

30

С появлением недорогих лаптопов и тем более ультрадешевых неттопов эти «создания»
начали плодиться во всех местах моего обитания – дома, в офисе, на даче, диване и так далее.
И тогда начались проблемы с синхронизацией данных между компьютерами. Знакомо?
И
вот тогда, чтобы окончательно
не сойти с ума с синхронизаци-
ей данных на всех этих устрой-
ствах, я задался вопросом, как хранить
на каждом из них актуальную копию
моих данных. Хранение данных на од-
ном сервере или постоянное копирова-
ние данных с помощью rsync я отмел
как неудобное и, как следствие, нера-
ботающее решение.
Немного побродив по Интернету,
я обнаружил, что шустрые предпри-
ниматели мира сего уже пришли мне
на помощь с тремя наиболее интерес-
ными продуктами:
n DriveBox;
n LiveDrive;
n SkyDrive.
Краткие сравнительные характе-
ристики смотрите в таблице.
Увы, я не смог дать 5 баллов сер-
вису DropBox по причине отсутствия
асимметричного шифрования.
Будучи заядлым пользователем
операционной системы Linux, я похо-
ронил для себя LiveDrive и SkyDrive
и приступил к использованию про-
граммы DropBox.
В начале эксплуатации я также пос-
тавил себе задачу, чтобы на сервис
хранения данных мои файлы отправ-
лялись в зашифрованном виде.
№4, апрель 2009
Синхронизируем данные
между компьютерами
с помощью сервисов
сетевого хранения
Виталий Банковский
Начало работы пользуемся богатыми возможностями
Стоит отметить легкость установки семейства Linux, а именно – програм-
клиента DropBox даже на Linux-подоб- мой cryptfs. Эта программа позволяет
ных системах. Для того чтобы начать прозрачно шифровать каталоги, при-
использовать систему, нужно проде- чем зашифрованные файлы и катало-
лать всего несколько шагов: ги также представлены в виде файлов
n Зарегистрироваться на сайте http:// и каталогов.
drivebox.com. Итак, приступим. В папке ~/.Dropbox/
n Скачать и установить, следуя инс- создаем каталог Private, куда будут
трукциям на сайте поставщика, размещаться наши уже зашифрован-
клиентское программное обеспе- ные данные. Также создаем каталог,
чение, предварительно получив его например, ~/Dropbox.Open, куда мы бу-
с вышеуказанного сайта. дем размещать наши файлы в откры-
n Перезапустить менеджер файлов том виде. Затем монтируем каталог
Nautilius. ~/Dropbox/Private на каталог ~/Dropbox.
Open с помощью программы encfs:
При этом в домашней папке поль-
зователя появится каталог .DriveBox, encfs ~/.Dropbox/Private ↵
~/Dropbox.Open
в который и нужно размещать файлы
для их синхронизации с другими ком- Если такая процедура происхо-
пьютерами. дит в первый раз, то будет задан воп-
рос по выбору глубины шифрования,
Безопасность и также будет предложено задать па-
Как я уже говорил, при стандартном роль для шифрования данных. Анало-
использовании наши данные попада- гично повторяем процедуры установ-
ют на сервис DropBox и уже там шиф- ки и монтирования на всех остальных
руются. Конечно, при таком способе компьютерах, которые должны содер-
хранения есть вероятность сбоя сер- жать синхронизированные данные.
виса, и данные могут быть доступ-
ны другим пользователям, не говоря Использование
уже о ситуациях, когда данные с сер- зашифрованных данных
виса воруют хакеры или инсайдеры. Для того чтобы программы на разных
Для устранения этого недостатка вос- компьютерах использовали данные
31
из сетевого хранилища, необходимо перенести файлы этих Сравнение сервисов сетевого хранения
программ в папку ~/Dropbox.Open. Например, для синхро- DropBox LiveDrive SkyDrive
низации системы мгновенных сообщений licq мы перено- Windows Да Да Да
сим папку ~/.licq в каталог ~/Dropbox.Open и создаем сим- Linux Да Нет Нет
волическую ссылку:
MacOS Да Нет Нет

mv ~/.licq ~/Dropbox.Open/ Шифрование между клиентом и сервисов Да Да Да

ln -s ~/Dropbox.Open/.licq ~/.licq Шифрование данных на стороне сервиса Да Нет Нет данных

Аналогично поступаем и с остальными нашими про- Субьективная оценка сервиса 4 0 0

граммами.
Повышаем безопасность
Будучи системным администратором, я все-таки побоял-
ся расположить наиболее критичные данные на публич-
ном сервере, пусть даже и в зашифрованном виде. При-
чин для этого несколько:
n Так как на сервере будут хранится файлы стандартных
программ, то злоумышленнику будет проще взломать
пароль, если он возьмет зашифрованный файл с сер-
виса DropBox и незашифрованный стандартный файл,
используемый в одной из наших программ.
n Сохранность данных. Если сотрудники вашей компании
пользуются таким сервисом, то невозможно централи-
зованно управлять созданием архивных данных поль-
зователей.
n Политика безопасности многих компаний запрещает
размещать важные данные в каком-либо виде на сер-
верах сторонних компаний.
n RVM.
Эти библиотеки доступны по адресу ftp://ftp.coda.cs.cmu.
edu/pub/coda/linux/src и устанавливаются стандартным спо-
собом, последовательно выполняя три команды:
./configure
make
make installing
Включение поддержки Coda в ядре системы Linux
Модуль поддержки файловой системы Coda входит в стан-
дартное ядро Linux, включение которого находится в раз-
деле File systems, Network filesystem. На момент написания
статьи я использовал ядро Linux версии 2.6.24.2 на клиен-
те и 2.6.22.12 на сервере. После включения поддержки не-
обходимо загрузить модуль в ядро или перегрузить сервер,
если этот модуль «coda» вкомпилирован в новое ядро.

При наличии «собственного» защищенного сервера Установка и настройка демона Coda

и канала VPN для подключения к этому серверу можно ис- Как обычно, получаем исходные коды демона Coda по ад-
пользовать кеширующую файловую систему Coda. ресу ftp://ftp.coda.cs.cmu.edu/pub/coda/linux/src, компилиру-
Coda использует локальный кеш для доступа к данным, ем и устанавливаем:
когда сетевое подключение к серверу потеряно, при этом
сохраняя список изменений в локальных файлах. Когда со- tar -xzvf coda-x.x.x.tar.gz
cd coda-x.x.x
единение восстановлено, локальный клиент Coda синхро- ./configure
низирует локальные данные с сервером. make
make install
С программой можно ознакомиться на домашней стра-
нице проекта по адресу http://www.coda.cs.cmu.edu, а теперь На момент написания статьи была использована вер-
мы сосредоточимся на процедурах установки, настройки сия 6.9.4 демона Coda.
и использования. Далее нам необходимо настроить серверную часть про-
На своих рабочих компьютерах я использую Debian, тог- граммы Coda. Для этого в состав программы входит ути-
да как мой «собственный» сервер с Coda работает под дис- лита vice-setup, которая при запуске задаст несколько воп-
трибутивом CentOS, поэтому описание процедуры установ- росов:
ки и настройки будет ориентировано на эти дистрибутивы. Путь, где программа Coda будет хранить свои рабо-
При таком «зоопарке» мне пришлось обратится к установ- чие файлы:
ке программы Coda из исходных кодов.
What is the root directory for your coda server(s)? [/vice]

Процедура установки программы Coda Является ли данный сервер главным сервером. Про-
Программа Coda состоит из трех подсистем: грамма Coda поддерживает многосерверную конфигура-
n серверная часть; цию в режиме репликации:
n клиентская часть; Is this the master server, aka the SCM machine? (y/n) y
n поддержка в ядре на сервере и клиенте.
Настройка идентификации для коммуникации меж-
Установка и настройка серверной части ду несколькими серверами Coda и между клиентом Coda
Предварительно получаем и устанавливаем следующие и сервером:
библиотеки: Пароль для идентификации между серверами Coda:
n LWP;
n RPC2; Enter a random token for update authentication : **********

32
 Пароль, который должны указывать клиенты для иден-
тификации на сервисе Coda:
Enter a random token for auth2 authentication : ***********
Пароль, который нужно использовать при работе с ути-
литой volutil. Эта утилита с помощью вызовов RPC позволя-
ет удаленно работать с томами файловой системы Coda.
Enter a random token for volutil authentication : **********
Так как я являлся единственным пользователем, то ис-
пользовал один и тот же пароль для всех трех подсистем
идентификации. Подробнее о системе репликаций файло-
вой системы Coda и об управлении томами можно прочи-
тать на домашней странице проекта по адресу http://www.
coda.cs.cmu.edu.
Идентификатор данного сервера Coda, произвольное
между 0 и 255, исключая 0,127 и 255. Я использовал 100.
Enter an id for the SCM server. (hostname server.domain.com)
The serverid is a unique number between 0 and 255.
You should avoid 0, 127, and 255.
serverid: 100
Создание учетной записи администратора Coda. Нуж-
но указать ID и имя учетной записи пользователя, который
уже существует в системе:
Enter the uid of this user: 1000
Enter the username of this user: cooluser
Указание имени файла, где будут храниться лог-фай-
лы. Coda поддерживает разделы raw на системах хране-
ния и обычные файлы на файловой системе.
What will be your log file (or partition)? /home/coda/log
Задание файла, где будут храниться данные:
Where is your data file (or partition)? /home/coda/data
Далее будут заданы вопросы про размер данных и мак-
симального количества файлов, затем утилита завершит
настройки и запустит серверные подсистемы программы
Coda.
Если все нормально было установлено и настроено,
то мы должны получить сообщение об успешной установ-
ке и запуске серверной части программы Coda:
That seems to have worked...
If you have a working Coda client you should now be able to
access the new Coda realm
- cfs lv /coda/servername.domain.com/
enjoy Coda.
for more information see http://www.coda.cs.cmu.edu.
Установка и настройка программы Coda
на клиентском компьютере
Аналогично устанавливаем библиотеки LWP, RPC2, RVM,
программу Coda, включаем поддержку файловой систе-
мы Coda в ядре.
№4, апрель 2009
Далее необходимо настроить и подключиться к серверу
с сервисом Coda с помощью утилиты venus-setup:
venus-setup servername.domain.com
где servername.domain.com – имя сервера или IP-адрес сер-
вера, где мы установили сервис Coda. При запуске програм-
мы будут заданы два вопроса:
Имя сервера, которое мы уже указали в качества пара-
метра для утилиты venus-setup:
Default realm for authentication:
Размер локального кэша (эквивалентен размеру хра-
нимых на сервере данных) в килобайтах:
Amount of diskspace used for caching:
По завершении работы этой утилиты можно увидеть
следующее сообщение:
22:25:17 Mounting root volume...
22:25:17 Venus starting...
22:25:17 /coda now mounted.
Это значит, что файловая система Coda успешно смон-
тирована в каталог /coda. Но перед началом работы необ-
ходимо пройти идентификацию на сервере, чтобы мы мог-
ли записывать в этот каталог. Для этого существует утили-
та clog, которая запускается следующим образом:
clog username
где username – имя учетной записи пользователя службы
Coda на сервере Coda. При этом будет запрошен пароль,
причем нужно использовать тот же пароль, который был за-
дан при настройке программы Coda на сервере:
Enter a random token for auth2 authentication:
Если все было сделано правильно, то наше хранилище
на сервере будет смонтировано в каталог /coda/servername.
domain.com/. В этот каталог и нужно записывать наши дан-
ные, которые должны быть синхронизированы между ком-
пьютерами.
Также существует возможность использования клиента
Coda для семейства операционных систем Windows XP, NT,
используя среду Cygwin. Более подробно об этом можно по-
читать по адресу http://www.coda.cs.cmu.edu/windowsnt.html.
У меня не было возможности рассказать об этом подроб-
нее по причине «финальной кончины» Windows XP на мо-
ем компьютере.
В этой статье я показал два подхода к синхронизации дан-
ных между несколькими компьютерами, и вам решать, какой
из вариантов наиболее подходит в вашей ситуации.
1. http://www.coda.cs.cmu.edu.
2. http://en.wikipedia.org/wiki/Coda_(file_system).
3. http://dropbox.com.
4. http://skydrive.com.
5. http://www.livedrive.com.
6. http://www.coda.cs.cmu.edu/windowsnt.html.
33
PowerShell. Определяем имя текущего домена
При подключении к каталогу Active Directory первый шаг – определение имени текущего
домена. Для этого используется виртуальный объект RootDSE.
P
owerShell позиционируется компанией Microsoft
как скриптовый язык, поддерживающий библиоте-
ки .Net Framewok и призванный заменить существую-
щие VBScript и JScript. Принципиальное отличие PowerShell
от своих предшественников – поддержка объектно-ориен-
тированного программирования.
Знакомые с управлением Active Directory знают, что на
VBScript или JScript доступ к каталогу Active Directory
осуществляется с помощью ADODB, а при использо-
вании .Net Framework – с помощью библиотеки System.
DirectoryServices.
Поскольку PowerShell в первую очередь ориентирован
на работу с .NET Framework, то администраторам придет-
ся узнать основы программирования в Visual Studio в об-
легченном варианте.
Способы подключения к Active Directory
Для доступа к каталогу Active Directory используется один
из двух провайдеров: WinNT или LDAP. Первый из них ис-
пользовался в доменах Windows NT и в настоящее время
используется для совместимости. Основным протоколом
доступа к Active Directory является LDAP. В связи с этим
провайдер WinNT рассматриваться не будет.
Виртуальный каталог RootDSE
Виртуальный объект RootDSE является точкой входа в лю-
бой домен, который содержит информацию о домене в це-
34
Иван Коробко
лом, доступных пространствах имен, поддерживаемой вер-
сии LDAP и др. Первоначально объект RootDSE был опре-
делен в RFC 2251 [1] как часть спецификации LDAP вер-
сии 3.
Для подключения к RootDSE используется бессервер-
ное подключение. Чтобы определить имя домена, исполь-
зуется локатор контроллера домена, который находится
на каждом контроллере. Доступ к объекту осуществляет-
ся анонимно.
Определение имени текущего домена
На практике виртуальный каталог RootDSE используется
для определения имени текущего домена, а также косвен-
ным образом для определения принадлежности сервера
к тому или иному сайту.
Как известно, существуют три варианта обозначения
имени домена:
n RDN (Relative Distinguished Name) – относительное уни-
кальное имя, например DC=ISLAND,DC=RU;
n FQDN (Fully Qualified Domain Name) – полное домен-
ное имя или DNS-имя, в котором компоненты разделе-
ны точкой, например ISLAND.RU;
n NetBIOS-имя – обычно первая часть DNS-имени доме-
на, например ISLAND.
На практике для управления объектами Active Directory
с помощью провайдера LDAP используется имя домена,
записанное в RDN-формате. Домен
имеет древовидную структуру, в кото-
рой доступны несколько пространств
имен. Каждое из них имеет свою точ-
ку входа:
n defaultNamingContext. Описывае-
мое этим параметром пространство
имен используется для управления
учетными записями пользователей,
групп, контейнеров и других объек-
тов в оснастке Active Directory Users
and Computers.
n sсhemaNamingContext. Данным
параметром описывается место-
положение схемы домена. Подключение к проекту библиотеки System.DirectoryServices
n configurationNamingContext. Со-
держит RDN-путь к разделу, содержащему путь к кон- Первый способ рассматриваться не будет, поскольку
фигурации леса текущего домена. его скорость работы по сравнению со вторым оставляет
n rootDomainNamingContext. Значением параметра яв- желать лучшего.
ляется RDN-путь к корню домена (домен, который был Для реализации второго способа необходимо к создан-
создан первым в лесу). ному в Visual Studio проекту подключить библиотеку System.
DirectoryServices (см. рисунок).
Имя текущего домена является значением параметра
defaultNamingContext. Поскольку PowerShell представляет Листинг 2. Определение RDN-имени домена (VB.NET)
собой нечто среднее между Visual Studio и VBScript, то рас- Imports System.DirectoryServices
смотрим управление объектом RootDSE с помощью трех
...
языков программирования (VB.NET, VBScript и PowerShell), Dim obj As New DirectoryEntry("LDAP://RootDSE")
чтобы наглядно показать все преимущества PowerShell. Dim domain As String = ↵
obj.Properties("defaultNamingContext").Value
Удаленное подключение к каталогу Active Directory (про- MsgBox (domain)
вайдер LDAP) обеспечивается с помощью Active Directory
Services Interface (ADSI). В VBScript для этого используется Несмотря на то что PowerShell поддерживает COM-объ-
функция GetObject(), в качестве аргумента которой фигу- екты, рекомендуется отдать предпочтение библиотекам
рирует путь к объекту. В PowerShell для решения идентич- .NET Framework, поскольку скорость работы сценария в этом
ной задачи вместо функции GetObject() в квадратных скоб- случае увеличится. Для получения имени домена все так же
ках указывается ключевое слово ADSI, а в кавычках, сле- используется библиотека System.DirectoryServices, однако
дующих далее, – путь к объекту. ее нет необходимости подключать, поскольку многие по-
Определение RDN-имени текущего домена с помощью пулярные библиотеки сразу доступны после запуска обо-
виртуального объекта RootDSE состоит из двух этапов. лочки PowerShell. Листинг сценария очень похож на листинг
Первый этап – получение доступа к RootDSE, второй – чте- VB.NET (см. листинг 3).
ние строкового значения параметра defaultNamingContext.
На языке VBScript для этого используется функция Листинг 3. Определение RDN-имени домена (VB.NET)
GetObject(), аргументом которой является путь к виртуаль- $obj=[ADSI]"LDAP://RootDSE"
ному объекту: LDAP://RootDSE, и чтение значения с помо- $domain=$obj.defaultNamingContext
$domain
щью функции GET, аргументом которой в свою очередь яв-
ляется имя параметра (см. листинг 1). Обратите внимание: все имена переменных в PowerShell
начинаются с символа доллара ($).
Листинг 1. Определение RDN-имени домена (VBScript) Как видно, листинг по своему объему сопоставим с лис-
Set obj = GetObject("LDAP://rootDSE") тингом на VBScript, а по скорости работы – с VB.NET.
domain = obj.Get("defaultNamingContext")
MsgBox domain
Заключение
Эту же операцию в VB.NET можно осуществить двумя После того как определено имя текущего домена, вы по-
способами: лучаете доступ ко всему каталогу Active Directory. Степень
n с помощью COM-объекта. Так же как и в VBScript, дозволенности определяется правами, выданными сис-
осуществляется вызов функции GetObject() и с по- темным администратором. В общем случае доступны по-
мощью метода GET – чтение значения параметра иск объектов, на которые есть соответствующие разреше-
defaultNamingContext; ния, и чтение их свойств.
n с помощью класса DirectoryEntry, входящего в состав
библиотеки Directory Services .Net Framework (см. лис- 1. RFC2251 – Lightweight Directory Access Protocol (v3) – http://www.
тинг 2). faqs.org/rfcs/rfc2251.html.

№4, апрель 2009 35

PowerShell. Поиск объектов в каталоге
Active Directory

Получение информации из каталога

Active Directory в девяти случаях
из десяти сводится к поиску объектов,
которые удовлетворяют заданным
критериям.

Иван Коробко
В
каталоге Active Directory объек- Таблица 1. Типы объекта в Active Directory
ты хранятся в иерархической Комментарий Тип объекта Значение Фрагмент поискового запроса
структуре, поэтому для получе- objectClass
ния доступа к нужному объекту необ- Учетная запись компьютера Computer Top (&(objectClass=Computer)
Person
ходимо указать к нему путь в форма- OrganizationalPerson
те RDN. Обычно местоположение объ- User
Computer
екта неизвестно или оно может изме-
ниться, поэтому программный способ Контакт, используется в почтовых Contact Top (&(objectClass=Contact)
приложениях Person
поиска объекта/объектов по задан- OrganizationalPerson
ным условиям – самое эффективное Contact
средство для определения его место- Группа безопасности Group Top (&(objectClass=Group)
нахождения. Group
Учетная запись пользователя, InetOrgPerson Top (&(objectClass=InetOrgPerson)
Иерархическая структура не совместимая с доменами
Windows 2K
Person
OrganizationalPerson
каталога Active Directory User
InetOrgPerson
Иерархическая структура каталога
Active Directory обычно формирует- Папка дерева каталогов OU Top (&(objectClass=OrganizationalUnit)
Active Directory OrganizationalUnit
ся с помощью специфических объек-
Опубликованный в Active Directory Printer Top (&(objectClass=PrintQueue)
тов – контейнеров (Organizational Unit), сетевой принтер Leaf
которые имеют префикс «OU=». Кон- ConnectionPoint
PrintQueue
тейнеры, образующие домен, име-
ют префикс DC (Domain Component). Опубликованная в Active Directory Shared Folder Top (&(objectClass=Volume)
сетевая папка Leaf
Большинство других объектов кроме ConnectionPoint
корня домена имеют префикс «CN=» Volume

(Common Name). Учетная запись пользователя, User Top (&(objectClass=Person)

Однако и здесь существует исклю-
чение: служебные контейнеры также
имеют префикс «CN=».
Тип объекта определяется набо-
ром элементов массива objectClass.
Поиск объектов осуществляется по
заданным критериям. Чаще всего од-
ним из заданных критериев является
тип объекта.
В таблице 1 приведены типы объ-
ектов и соответствующие им значе-
ния элементов массива objectClass.
При составлении запроса необходи-
мо учитывать пересечения элемен-
тов массива.
Ярким примером является запрос
поиска всех учетных записей компью-
теров и пользователей. Оба класса от-
носятся к классу person, однако учет-
ные записи компьютеров дополнитель-
но входят в класс Computer (см. таб-
лицу 1), именно поэтому для выбор-
ки всех учетных записей необходимо
в фильтре это учесть: (&(objectClass=
user)(!objectClass=Computer)).
Поиск объектов в Active Directory
при помощи библиотек .NET Framework
осуществляется с помощью клас-
са DirectorySearcher, относящегося
к пространству имён System.Directory
Services.
Процедура поиска имеет несколь-
ко характеристик, основные из кото-
совместимая с доменами Windows NT
Контейнер (папка), создаваемая
в каталоге Active Directory
по умолчанию
Корень домена
n Область поиска. Область, или глу-
бина, поиска определяется с помо-
щью свойства SearchScope.
n Критерии поиска. Задаются с по-
мощью свойства filter.
n Сортировка элементов. С помо-
щью метода sort и его свойств за-
дают поле и направление сорти-
ровки.
Область поиска
Поиск объекта может быть осущест-
влен в одной из трех областей:
n Base (obj.SearchScope=0) – по-
иск осуществляется по корневому
объекту, указанному в первой час-
ти запроса. Всегда возвращается
либо один объект, либо пустой на-
бор объектов. Эта область поиска
используется чаще всего для про-
верки на существование объекта,
указанного в запросе.
n OneLevel (obj.SearchScope=1) –
поиск осуществляется только
по непосредственным дочерним
Person (!(objectClass =Computer)))
OrganizationalPerson
User
Container Top (&(objectClass=Container))
Container
RootDSE Top (&(objectClass=DomainDNS)
Domain
DomainDNS
указанного в первой части запроса.
Поиск по вложенным объектам бо-
лее низких уровней не производит-
ся. В поиск не попадет и сам кон-
тейнерный объект.
n SubTree (obj.SearchScope=2) – по-
иск осуществляется по всем вло-
женным объектам. В поиск при
этом не попадает сам контейнер-
ный объект. Эта область поиска за-
дана по умолчанию.
Таблица 2. Операторы фильтра поиска
Оператор Значение
= Эквивалентно
~= Примерно равно
<= Меньше или равно
>= Больше или равно
> Больше
< Меньше
& И
| ИЛИ
! НЕ

рых: объектам контейнерного объекта, * Любое количество любых символов

№4, апрель 2009 37

Критерии поиска ем фильтр (&(name=А*)). С помощью символа «*» обозна-
При составлении критерия, или, как его еще называют, чают произвольное содержимое. Объединив оба филь-
фильтра поиска, используют выражения, строящиеся по оп- тра в один, получим: (&((objectClass=user)(name=А*))
ределенным правилам, а именно (см. таблицу 2): (!(objectClass=Computer))).
n каждое выражение должно быть заключено в скобки; После определения всех необходимых атрибутов поис-
n в выражениях допускается использование операторов ка необходимо запустить процесс поиска с помощью од-
сравнения: «<», «<=», «=», «>=» и «>'; ной из функций: FindAll() или FindOne().Поскольку объек-
n допускаются составные выражения, образуемые с по- тов заведомо больше одного, то в данном случае рекомен-
мощью префиксных операторов: «&», «|», «!»; дуется использовать FindAll().
n между оператором и операндами пробелы не допуска- Чтение элементов осуществляется с помощью цикла
ются. For...Next. Массив – коллекция SearchResults, возвращае-
мая функцией FindAll(), элемент коллекции – SearchResult.
Приведу несколько характерных примеров фильтров: Для чтения свойств найденных объектов необходимо
n (name=А*). Результатом поиска являются все объекты, получить доступ к его пространству имен с помощью ме-
имена которых начинаются с буквы «А». тода DirectorySearcher и, наконец, с помощью параметри-
n &((objectClass=person)(!objectClass=computer)). Бу- зированного свойства (Parameterized property) Properties()
дут возвращены все объекты, принадлежащие к классу получить требуемое значение.
person и не принадлежащие к классу computer, то есть В листинге 1 приведен рассмотренный пример на язы-
все учетные записи пользователей. ке VB.NET, а в листинге 2 – на PowerShell.

Встречаются случаи, в которых необходимо в качестве Листинг 1. Поиск объектов по заданным критериям (VB.NET)
значений указывать служебные символы, например звез- Dim obj As New DirectorySearcher("LDAP://RootDSE")
дочку, скобку и др.
obj.SearchScope = SearchScope.Subtree
Чтобы реализовать эту возможность, нужный символ obj.Filter = "(&(objectClass=person)(name=a*) ↵
требуется заменить на соответствующее ему кодовое зна- (!objectClass=computer))"
чение, приведенное в таблице 3. obj.Sort.PropertyName = "cn"
obj.Sort.Direction = SortDirection.Ascending
For Each element As SearchResult In obj.FindAll()
Сортировка элементов Dim obj2 As DirectoryEntry = ↵
Сортировка элементов осуществляется с помощью ме- element.GetDirectoryEntry()
msgbox obj2.Properties("cn").Value)
тода sort, поддерживающего два свойства: PropertyName Next
и Direction.
С помощью свойства PropertyName производится на- В листинге 2 код отличается. Значительные измене-
значение поля, по которому будет осуществляться сорти- ния в сторону упрощения претерпевает вывод значений
ровка, а с помощью Direction – направление. элементов полученного массива. В отличие от классичес-
В случае Sort.Direction=0 осуществляется упорядочи- кого For.... Next, в PowerShell можно использовать инструк-
вание от «А» до «Я», при Sort.Direction=1 – в обратном по- цию foreach-object или короткий псевдним % (знак процен-
рядке. та). В этом случае доступ к элементам массива осущест-
вляется с помощью специальной переменной «$_».
Пример поиска объектов
в Active Directory Листинг 2. Поиск объектов по заданным критериям
(PowerShell)
Приведу пример поиска всех учетных записей пользовате-
ля на букву «А». Дополнительно выполним сортировку вы- $obj = new-object DirectoryServices.DirectorySearcher ↵
("LDAP://RootDSE")
водимых данных от А к Я по полю name. Рассмотрим алго-
ритм работы сценария. $obj.SearchScope = "Subtree"
$obj.Filter = "(&(objectClass=person)(name=a*) ↵
Сначала необходимо вызвать объект DirectorySearcher (!objectClass=computer))"
и указать точку монтирования к каталогу Active Directory. За-
$obj.Sort.PropertyName = "cn"
тем укажем область поиска – весь каталог Active Directory: $obj.Sort.Direction = "Ascending"
SearchScope = subtree.
$obj.FindAll() | %{
Таблица 3. Служебные Критерий поиска логичес- $obj2=$_.GetDirectoryEntry()
символы, используемые $obj2.cn
в фильтрах поиска ки складывается из двух эле-
ментов: в первом выберем все
Символ Значение учетные записи пользовате-
* \2a лей. Это можно сделать, ука- Заключение
( \28 зав фильтр (&(objectClass=user) Подводя итог написанному, необходимо сказать, что поиск
) \29
(!(objectClass=Computer))). объектов – очень мощное средство. Грамотно составлен-
Вторым критерием из всех ный запрос, верно определенные области поиска и сорти-
\ \5c
найденных учетных записей ровка позволят с легкостью формировать сложнейшие от-
NUL \00 отберем начинающиеся с бук- четы, на составление которых могло бы уйти гораздо боль-
/ \2f вы «А». Для этого использу- ше времени.

38
Множественные уязвимости в Wireshark Множественные уязвимости в Kerberos
Программа: Wireshark версии до 1.0.7. Программа: Kerberos 5.x.
Опасность: Высокая. Опасность: Высокая.
Описание: 1. Уязвимость существует из-за ошибки формат- Описание: 1. Уязвимость существует из-за ошибки разыме-
ной строки в PROFINET/DCP (PN-DCP) диссекторе при об- нования нулевого указателя в функции spnego_gss_accept_
работке названий станций, содержащих символы формат- sec_context() в файле src/lib/gssapi/spnego/spnego_mech.c.
ной строки. Удаленный пользователь может с помощью Удаленный пользователь может аварийно завершить ра-
специально сформированного пакета вызвать отказ в об- боту демона с помощью«NegTokenInit-токена, содержаще-
служивании или выполнить произвольный код на целевой го специально сформированные ContextFlags.
системе. 2. Уязвимость существует из-за ошибки в функции
2. Уязвимость существует из-за ошибки в LDAP-дис- get_input_token() в реализации SPNEGO. Удаленный поль-
секторе. Удаленный пользователь может с помощью спе- зователь может вызвать повреждение памяти и аварийно
циально сформированного LDAP-пакета аварийно завер- завершить работу демона и также получить доступ к важ-
шить работу приложения. Уязвимость распространяется ным данным.
только на Windows-платформы. 3. Уязвимость существует из-за математической ошиб-
3. Уязвимость существует из-за ошибки в Check Point ки в функции asn1buf_imbed() в ASN.1-декодере. Удален-
High-Availability Protocol (CPHAP)-диссекторе. Удаленный ный пользователь может аварийно завершить работу kinit
пользователь может аварийно завершить работу прило- или KDC.
жения. 4. Уязвимость существует из-за ошибки в функции
4. Уязвимость существует из-за ошибки при обработке asn1_decode_generaltime(), которая позволяет освободить
Tektronix .rf5-файлов. Удаленный пользователь может с по- неинициализированный указатель через некорректную
мощью специально сформированного .rf5-файла аварийно DER-кодировку. Удаленный пользователь может выпол-
завершить работу приложения. нить произвольный код на целевой системе.
URL производителя: www.wireshark.org. URL производителя: web.mit.edu/kerberos/www.
Решение: Установите последнюю версию 1.0.7 с сайта про- Решение: Установите исправление с сайта производителя.
изводителя.
Множественные уязвимости в ClamAV
Переполнение буфера в IBM Access Программа: Clam Antivirus версии до 0.95.1.
Support ActiveX-компоненте Опасность: Высокая.
Программа: IBM Access Support ActiveX 3.20.284.0 и более Описание: 1. Уязвимость существует из-за ошибки при
ранние версии. обработке файлов, запакованных с помощью UPack. Уда-
Опасность: Высокая. ленный пользователь может аварийно завершить рабо-
Описание: Уязвимость существует из-за ошибки провер- ту приложения.
ки границ данных в методе GetXMLValue() в библиотеке 2. Уязвимость существует из-за ошибки проверки гра-
IbmEgath.dll. Удаленный пользователь может с помощью ниц данных в функции cli_url_canon() в файле libclamav/
специально сформированного веб-сайта передать слиш- phishcheck.c. Удаленный пользователь может с помощью
ком длинный аргумент уязвимому методу, вызвать пере- специально сформированных ссылок вызвать перепол-
полнение стека и выполнить произвольный код на целе- нение буфера и выполнить произвольный код на целевой
вой системе. системе.
URL производителя: www.ibm.com. URL производителя: www.clamav.net.
Решение: В настоящее время способов устранения уязви- Решение: Установите последнюю версию 0.95.1 с сайта
мости не существует. производителя.

Использование небезопасного метода Переполнение буфера в Ghostscript

в SAP GUI KWEdit ActiveX-компоненте
Программа: SAP GUI 6400.1.1.41, возможно, другие версии;
SAP GUI 7100.1.1.43, возможно, другие версии.
Опасность: Высокая.
Описание: Уязвимость существует из-за наличия небезо-
пасного метода SaveDocumentAs() в Kweditcontrol.KWEdit.1
ActiveX-компоненте (KWEDIT.DLL). Удаленный пользова-
тель может с помощью специально сформированного веб-
сайта получить доступ к важным данным и скомпромети-
ровать целевую систему.
URL производителя: www.sap.com.
Решение: Установите последнюю версию с сайта произ-
водителя.
Программа: Ghostscript 8.64, возможно, другие версии.
Опасность: Высокая.
Описание: Уязвимость существует из-за ошибки проверки
границ данных во время декодирования сегментов слова-
ря символов JBIG2 в библиотеке jbig2dec. Удаленный поль-
зователь может с помощью специально сформированного
PDF-файла вызвать переполнение динамической памяти
и выполнить произвольный код на целевой системе.
URL производителя: www.ghostscript.com.
Решение: В настоящее время способов устранения уязви-
мости не существует.
Составил Александр Антипов

№4, апрель 2009 39

Оборудование Cisco
для «самых маленьких»
Большинство системных
администраторов знают,
что существует сетевое
оборудование под торговой
маркой Cisco. При первой встрече
с данным оборудованием
у многих появляются
вопросы: как подключиться,
как настраивать и что
означают те или иные
команды. Статья поможет
начинающим разобраться
в терминологии, методах
начального конфигурирования
и с возникающими вопросами.

Сергей Крутилин
И
так, начнём с простейшего. Ваша организация при-
обрела маршрутизатор Cisco 871 для следующих за-
дач: доступ в Интернет, сервис для автоматического
назначения IP-адресов локальным ПК (DHCP), публикация
внутреннего почтового сервера.
Вы распаковываете коробку с новым оборудованием
и видите перед собой устройство, внешний вид которого
представлен на рис. 1.
Первый вопрос – как подключиться? Достаточно прос-
то – в комплекте с оборудованием идёт «шнурок» синего
цвета (консольный кабель, см. рис. 2), его нужно подклю-
чить одной стороной (разъём RJ45) к порту с названием
Console, а другой стороной к COM-порту вашего ПК. Рисунок 1. Внешний вид устройства
Для управления оборудованием нам понадобится про-
грамма, к примеру, Hyper Terminal в Microsoft Windows («Глав- ролей для различного оборудования смотрите по адресу
ное меню → Программы → Стандартные → Связь»). Запус- http://www.phenoelit-us.org/dpl/dpl.html).
каем Hyper Terminal, вводим название подключения (к при- В данном режиме выполняются основные действия кон-
меру, Cisco), затем нажимаем ОК, на втором окне выбира- фигурирования, такие как настройка сетевых интерфейсов,
ем требуемый COM-порт, затем настраиваем Hyper Terminal, правила брандмауэра и т. д.
как показано на рис. 3, и нажимаем ОК. Теперь включаем Для просмотра текущей конфигурации маршрутиза-
маршрутизатор. На экране появится окно загрузки с при- тора выполните команду «show config» (или сокращённо
мерно следующим содержанием: «sh conf»). Просматривать конфигурацию можно при помо-
System Bootstrap, Version 12.2(11r)YV3, RELEASE SOFTWARE (fc2)
щи клавиши пробела.
Technical Support: http://www.cisco.com/techsupport Для настройки основных параметров необходимо ис-
Copyright (c) 2004 by cisco Systems, Inc.
C800/SOHO series (Board ID: 29-129) platform with 65536 Kbytes of main memory пользовать команду «configure terminal» (или сокращён-
program load complete, entry point: 0x80013000, size: 0x753404
Self decompressing the image : ##############################################
но «conf t»).
############################################################################# Рассмотрим пример настройки.
################ [OK]

После распаковки образа Cisco IOS (Internetwork Пункт 1. Сетевые интерфейсы

Operating System) и загрузки всех компонентов вы оказы- В привилегированном режиме просматриваем доступные
ваетесь в пользовательском режиме, который обознача- интерфейсы (не забывайте поставить пробел после зна-
ется знаком «>» (Router>). Помимо подключения по кон- ка «|»):
соли, возможно также удалённое подключение по telnet
или ssh. Настройка подключения по telnet будет рассмот- Router#sh conf | include interface
рена чуть позже. Пользовательский режим предназначен
для отладочных целей, таких как ping, подключения к дру- Получаем примерно следующие результаты:
гим маршрутизаторам и прочее. При вводе вопроситель-
ного знака вы получаете весь список команд. В дальней- interface Ethernet0
interface Ethernet1
шем вы часто будете использовать систему справки. Рас- interface FastEthernet1
смотрим пример. interface FastEthernet2

Router>show ? где:
aaa Show AAA values n Ethernet – это физические интерфейсы, которым мож-
aal2 Show commands for AAL2 но присваивать IP-адреса;
appfw Application Firewall information
auto Show Automation Template n FastEthernet – это так называемые линки (ссылки)
backup Backup status на внутренний интерфейс, IP-адреса данным линкам
bgp BGP information
присваивать нельзя.

Router>show ip ? Заходим в режим конфигурирования и настраиваем

accounting The active IP accounting database интерфейсы:
admission Network Admission Control information
aliases IP alias table Router#conf t
arp IP ARP table
as-path-access-list List AS path access lists Enter configuration commands, one per line. End with CNTL/Z.
auth-proxy Authentication Proxy information

Выбираем интерфейс Ethernet 0 («interface Ethernet 0»):

Помимо пользовательского режима, существует при-
вилегированный режим. Для доступа к нему необходимо Router(config)#int et 0
ввести команду enable и пароль (стандартные имя поль-
зователя и пароль обычно Cisco, список стандартных па- Присваиваем интерфейсу IP-адрес и маску подсети:

№4, апрель 2009 41

 Router(config-if)#ip address 192.168.5.3 255.255.255.0 Пункт 2. Смена стандартного пароля
и настройка telnet
Нажимаем <CTRL> + <Z> для выхода из режима кон- По умолчанию telnet отключён на маршрутизаторах Cisco.
фигурирования: В первом пункте мы настроили внутренний интерфейс на ис-
пользование IP-адреса 192.168.5.3 и при попытке подключе-
Router(config-if)#^Z ния посредством telnet увидим следующее сообщение:
Router#
4d01h: %SYS-5-CONFIG_I: Configured from console by console
C:\>telnet 192.168.5.3
Cохраняем конфигурацию («write memory»): Trying 192.168.5.3 ... Open
Password required, but none set
Router#wr mem [Connection to 192.168.5.3 closed by foreign hos

Конфигурация маршрутизатора хранится в 2 файлах: Заходим в режим конфигурирования и выполняем сле-

n running-config – текущая конфигурация маршрутиза- дующие команды:
тора;
n startup-config – конфигурация, применяемая при за- Router#conf t
Router(config)#line vty 0 4
грузке. Router(config−line)#login

% Login disabled on line 66, until 'password' is set

После внесения изменений в конфигурацию вы также % Login disabled on line 67, until 'password' is set
можете выполнить команду «copy run start» («copy running- % Login disabled on line 68, until 'password' is set
config startup-config»). Также будет полезным сохранять кон- % Login disabled on line 69, until 'password' is set
% Login disabled on line 70, until 'password' is set
фигурацию на внешний TFTP-сервер (Trivial File Transfer
Protocol) (к примеру, этот – http://tftpd32.jounin.net). Выпол-
ним следующие команды. Устанавливаем пароль samag:
Выбираем копируемую конфигурацию:
Router(config−line)#password samag
Router#copy tftp: startup-config
Пробуем подключиться к маршрутизатору:
или
C:\>telnet 192.168.5.3
Router#copy tftp: running-config User Access Verification
Password:samag
Router>
Вводим IP-адрес TFTP-сервера:

Address or name of remote host []?192.168.5.1 Устанавливаем пароль samagsecret для доступа к при-
вилегированному режиму (enable):
Задаём имя сохраняемого файла:
Router#conf t
Router(config)#enable secret samagsecret
Source filename []?cisco871-strat-config

Рисунок 2. Консольный кабель Рисунок 3. Настройка Hyper Terminal

42
 Создаём пользователя user с паролем samaguser:
Router(config)#username user secret samaguser
Router(config)#^Z
Router#wr mem
Пробуем подключиться к маршрутизатору:
C:\>telnet 192.168.5.3
User Access Verification
Username: user
Password:samaguser
Router>enable
Password:samagsecret
Пункт 3. Настраиваем доступ в Интернет
для внутренних пользователей при помощи NAT
(Network Address Translation – трансляция
сетевых адресов)
Создаём пул с публичными IP-адресами или адресом
(на эти адреса будут отвечать внешние устройства сети –
отправленные пакеты данных должны возвращаться к ис-
точнику отправки).
Предположим, что провайдер выделил вашей орга-
низации внешний пул IP-адресов: 1.2.3.4-1.2.3.6 с маской
255.255.255.248, тогда пул с названием Internet будет вы-
глядеть так:
Используем один внешний адрес:
Router#conf t
Router(config)#ip nat pool Internet 1.2.3.4 1.2.3.4 ↵
netmask 255.255.255.248
Либо используем несколько внешних адресов:
Router#conf t
Router(config)#ip nat pool Internet 1.2.3.4 1.2.3.6 ↵
netmask 255.255.255.248
Теперь создаём список доступа (Access Control List, ACL)
с перечислением адресов подсетей, которым разрешён вы-
ход в Интернет. Более подробно списки доступа рассмот-
рены ниже.
Router(config)#ip access-list 10 permit 192.168.5.0 ↵
0.0.0.255
Настраиваем правила трансляции для IP-адресов внут-
ренней подсети, используя ACL:
Router(config)#ip nat insi\de source list 10 pool ↵
Internet overload
Определяем, на каких интерфейсах будет входящий/
исходящий NAT:
Router(config)#int et 0
Router(config-if)#in nat inside
Router(config-if)#int et 1
Router(config-if)#in nat outside
Настраиваем шлюз по умолчанию:
Router(config)#ip route 0.0.0.0 0.0.0.0 et 1 ↵
(ip route 0.0.0.0 0.0.0.0 Ethernet 1)
или
№4, апрель 2009
Рисунок 4. Вывод справки
Router(config)#ip route 0.0.0.0 0.0.0.0 ↵
внешний_IP-адрес_шлюза_провайдера ↵
(ip route 0.0.0.0 0.0.0.0 a.b.c.d)
Далее как обычно:
Router(config-if)#^Z
Router#wr mem
Пункт 4. ACL – списки доступа
n <1-99> – стандартные списки доступа;
n <100-199> – расширенные списки доступа;
n <1100-1199> – расширенные 48-битные списки доступа
по MAC-адресам;
n <1300-1999> – стандартные списки доступа (дополни-
тельные номера);
n <200-299> – списки доступа, основанные на типах про-
токолов;
n <2000-2699> – расширенные списки доступа (дополни-
тельные номера);
n <700-799> – 48-битные списки доступа по MAC-адре-
сам;
n dynamic-extended – расширенные ACL, зависящие
от времени;
n rate-limit – специфические ACL, построенные на оцен-
ке лимитов.
Рассмотрим наиболее часто используемые.
Стандартный список доступа (присваиваем 10-й номер
списку и разрешаем доступ пятой подсети):
Router(config)#ip access-list 10 permit 192.168.5.0 ↵
0.0.0.255
Создаём список доступа с определением протокола,
в частности, TCP (рекомендуется создавать «зеркальные»
списки доступа). Разрешаем обмен трафиком между хос-
тами a.b.c.d и w.x.y.z:
Router(config)#ip access-list 101 permit tcp ↵
host a.b.c.d host w.x.y.z
Router(config)#ip access-list 101 permit tcp ↵
host w.x.y.z host a.b.c.d
Примечание: нельзя удалять в режиме конфигурирова-
ния одну из строчек ACL при выполнении команды.
43

Рисунок 5. Пример использования системы справки
Удалим список доступа под номером 101:
Router(config)# no ip access-list 101 permit tcp ↵
host a.b.c.d host w.x.y.z
Создаём расширенный список доступа с именем
SamagACL:
Router(config)# ip access-list extended SamagACL
Разрешаем прохождение TCP-трафика между хоста-
ми a.b.c.d и w.x.y.z:
Router(config-ext-nacl)# permit tcp host a.b.c.d ↵
host w.x.y.z
Для удаления одного из правил в списке доступа вы-
полняем команду:
Router(config-ext-nacl)# no permit tcp host a.b.c.d ↵
host w.x.y.z
Список доступа по портам. Разрешаем прохождение
входящего/исходящего трафика на 80 TCP-порт:
Router(config)#access-list 111 permit tcp any any eq 80
где eq – определение номера порта.
Также можно вместо цифр вводить имена для распро-
страненных портов, к примеру:
Router(config)#access-list 111 permit tcp any any eq WWW
Полный список доступных имён смотрите в справке
данной команды:
Router(config)#access-list 111 permit tcp any any eq ?
Пункт 5. Перенаправляем входящий трафик
на внутренние серверы
К примеру, мы хотим опубликовать 25 TCP-порт (электрон-
ная почта). Делается это следующей командой:
44
Router(config)#ip nat inside source static ↵
tcp 192.168.5.2 25 a.b.c.d 25 extendable
где:
n 192.168.5.2 – адрес почтового сервера;
n a.b.c.d – внешний IP-адрес нашего маршрутизатора.
Пункт 6. Реализуем поддержку раздачи
динамических IP-адресов для локальной подсети
(DHCP)
Создаём пул DHCP-сервера:
Router(config)# ip dhcp pool Office
где Office – имя создаваемого пула.
Определяем, какую подсеть будет обслуживать DHCP-
сервер:
Router(config-dhcp)# network 192.168.5.0 255.255.255.0
Задаём имя домена для клиентов DHCP:
Router(config-dhcp)# domain-name samag.ru
Назначаем шлюз по умолчанию:
Router(config-dhcp)#default-router 192.168.5.3
Примечание: адрес шлюза должен быть из подсети кли-
ентов, в нашем случае это подсеть 192.168.5.0.
Настраиваем список DNS-серверов для выдачи клиен-
там локальной подсети:
Router(config-dhcp)# dns-server 192.168.5.2
где 192.168.5.2 – адрес внутреннего DNS-сервера.
Устанавливаем срок аренды выданных IP-адресов
на 7 дней:
Router(config-dhcp)#lease 7
Исключаем адреса из пула для предотвращения конф-
ликтов (серверам присваиваем статические IP-адреса):
Router(config)# ip dhcp excluded-address 192.168.5.3 ↵
192.168.5.4
Router(config)#^Z
Router#wr mem
Заключение
Теперь наш маршрутизатор способен предоставлять ПК
внутренней подсети доступ в Интернет, сервис DHCP, поч-
товый сервер способен принимать почту с внешних адре-
сов на 25-й порт.
1. http://cisco.com/en/US/support/index.html.
2. http://www.faq-cisco.ru.
3. http://www.ciscolab.ru.
4. http://ru.wikipedia.org/wiki/Cisco.
Уязвимости в Microsoft ISA Server
и Forefront Threat Management Gateway
Программа: Microsoft Forefront Threat Management Gateway
Medium Business Edition; Microsoft ISA Server 2004; Microsoft
ISA Server 2006.
Опасность: Средняя.
Описание: 1. Уязвимость существует из-за ошибки при об-
работке состояния TCP-сессии в механизме МСЭ для веб-
прокси и Web publishing listener. Удаленный пользователь
может с помощью специально сформированного TCP-паке-
та заставить Web listener не принимать новые запросы.
2. Уязвимость существует из-за недостаточной обра-
ботки входных данных в аутентификационном компоненте
HTML-форм (cookieauth.dll) в ISA Server и Forefront TMG. Уда-
ленный пользователь может с помощью специально сфор-
мированного запроса выполнить произвольный код сцена-
рия в браузере жертвы в контексте безопасности уязвимо-
го сайта. Для успешной эксплуатации уязвимости должен
быть включен Web publishing, и аутентификация через HTML-
формы должна быть включена на Web listener, который ис-
пользуется по умолчанию. Уязвимость не распространяет-
ся на Microsoft ISA Server 2004.
URL производителя: www.microsoft.com.
Решение: Установите исправление с сайта производителя.
Множественные уязвимости
в IBM WebSphere Application Server
Программа: IBM WebSphere Application Server версии
до 7.0.0.3.
Опасность: Средняя.
Описание: 1. Уязвимость существует из-за недостаточной
обработки URL в /ibm/console/. Удаленный пользователь мо-
жет выполнить произвольный код сценария в браузере жер-
твы в контексте безопасности уязвимого сайта.
2. Уязвимость существует из-за того, что временные ис-
правления, которые переписывают существующие или созда-
ют новые файлы, устанавливают для них привилегии 777.
3. Уязвимость существует из-за неизвестной ошибки,
которая может привести к тому, что процесс JAX-RPC WS-
Security некорректно проверит подлинность UsernameToken.
4. Уязвимость существует из-за неизвестной ошибки
в спецификации цифровых XML-подписей. Подробности
уязвимости не сообщаются.
URL производителя: www-01.ibm.com/software/webservers/
appserv/was.
Решение: Установите последнюю версию 7.0.0.3 с сайта
производителя.
Переполнение буфера в FreeBSD
Программа: FreeBS 7.0, 7.1.
Опасность: Низкая.
Описание: Уязвимость существует из-за ошибки провер-
ки границ данных в ktimer. Локальный пользователь мо-
жет перезаписать произвольные участки памяти и выпол-
нить произвольный код на целевой системе с привилегия-
ми учетной записи root.
URL производителя: www.freebsd.org.
Решение: Установите исправление с сайта производителя.
№4, апрель 2009
Множественные уязвимости в Cisco IOS
Программа: Cisco IOS 12.x.
Опасность: Средняя.
Описание: 1. Уязвимость существует из-за ошибки в фун-
кционале Cisco Tunneling Control Protocol (cTCP). Удален-
ный пользователь может с помощью специально сформи-
рованных TCP-пакетов аварийно завершить работу cTCP-
сервера. Уязвимости подвержены версии 12.4(9)T и выше
с включенной инкапсуляцией Cisco Tunneling Control Protocol
(cTCP) для EZVPN-сервера.
2. Уязвимость существует из-за неизвестной ошибки
в функционалах Cisco IOS WebVPN и Cisco IOS SSLVPN
(SSLVPN). Удаленный пользователь может с помощью спе-
циально сформированных HTTPS-пакетов аварийно завер-
шить работу устройства.
3. Уязвимость существует из-за утечки памяти в функ-
ционалах Cisco IOS WebVPN и Cisco IOS SSLVPN (SSLVPN).
Удаленный пользователь может через SSLVPN-сессию пот-
ребить всю доступную память.
4. Уязвимость существует из-за неизвестной ошибки
в Cisco IOS при включенном Mobile IP NAT Traversal или
Mobile IPv6. Удаленный пользователь может с помощью
специально сформированных пакетов прекратить обра-
ботку трафика устройством.
5. Уязвимость существует из-за неизвестной ошиб-
ки в Cisco IOS SCP-сервере. Злоумышленник может за-
писать произвольные файлы на устройство независимо
от настройки CLI. Для успешной эксплуатации уязвимости
требуются действительные учетные данные и доступ к CLI
и SCP-сервер должен использовать ролевые списки кон-
троля доступа.
6. Уязвимость существует из-за неизвестной ошибки
при обработке TCP-пакетов. Удаленный пользователь мо-
жет с помощью специально сформированной последова-
тельности TCP-пакетов вызвать перезагрузку устройства.
Для успешной эксплуатации уязвимости требуется пол-
ное трехкратное рукопожатие TCP для соответствующе-
го TCP-порта.
7. Уязвимость существует из-за неизвестной ошибки
в реализации Session Initiation Protocol (SIP). Удаленный
пользователь может с помощью специально сформирован-
ного SIP-сообщения вызвать перезагрузку устройства.
8. Уязвимость существует из-за ошибки при обработке
UDP-пакетов. Удаленный пользователь может с помощью
специально сформированного UDP-пакета заблокировать
доступ к интерфейсу устройства.
9. Уязвимость существует из-за неизвестной ошибки
при обработке IP-сокетов. Удаленный пользователь мо-
жет запретить устройству принимать новые подключения
или сессии, потребить большое количество памяти и про-
цессорного времени или вызвать перезагрузку устройст-
ва. Для успешной эксплуатации уязвимости требуется пол-
ное трехкратное рукопожатие TCP для соответствующе-
го TCP-порта.
URL производителя: www.cisco.com.
Решение: Установите исправление с сайта производителя.
Составил Александр Антипов
45
Почтовый клиент Alpine

Игорь Штомпель
Производительность компьютеров стремительно увеличивается, требования программного
обеспечения к системным ресурсам растут. Как быть в ситуации, когда нет возможности
модернизировать аппаратную составляющую компьютерной системы, а оптимизация
программного обеспечения стала насущной необходимостью? Одним из выходов из данного
положения может стать внедрение Alpine.

В
конце 2005 года началась разра- dpkg -r alpine n <P> (Printer) – переход в режим на-
ботка почтового клиента Alpine стройки печати.
на базе проекта Pine. Послед- Итак, программа установлена. Тот, n <N> (Newpassword) – установка
ний был создан в недрах Вашингтон- кто вынужден использовать устарев- и смена пароля.
ского университета и выпущен под шее оборудование или предпочитает n <C> (Config) – большинство общих
несвободной лицензией [1]. Товарный работать в консоли, получил всю необ- настроек Alpine.
знак – Pine на данном этапе стал ме- ходимую функциональность для рабо- n <S> (Signature) – создание и редак-
шать группе Pine Team в ее желании ты с электронной почтой. Теперь про- тирование сигнатур, которые будут
реорганизовать исходный код и рас- грамму необходимо настроить для ра- добавляться в каждое новое созда-
пространять программу. Обязатель- боты с почтовыми серверами. Запуска- ваемое и отправляемое письмо.
ства, связанные с товарным знаком, ем наш новый почтовый клиент: n <A> (AddressBooks) – настройка
и новые устремления разработчиков и редактирование адресных книг.
привели к тому, что был запущен про- alpine n <L> (collectionLists) – здесь вы
ект – Alpine [2]. Свое детище разработ- можете группировать ваши папки
чики выпустили под лицензией Apache При работе с программой мож- для лучшей организации электрон-
License, Version 2.0, сделав возможной, но использовать как клавиши управ- ной почты.
в отличие от Pine, редистрибуцию мо- ления курсора + <Enter>, так и заре- n <R> (Rules) – назначение различ-
дифицированных версий программы. зервированные клавиши, назначение ных правил на базе шести подкате-
Мы рассмотрим установку, на- которых всегда отображается в ниж- горий: для отображения элементов
стройку, отправку и получение почты ней части экрана программы. После MESSAGE INDEX цветом, фильтра-
на примере дистрибутива Debian GNU/ старта Alpine мы увидим следующее ции сообщений, назначения ролей
Linux 4.0. В последнем имеется два (см. рис. 1). (например, разные подписи для раз-
«мощных» почтовых клиента для рабо- Для получения справки необхо- личных адресатов) и другого.
ты в консоли – Mutt и Alpine. По своей димо нажать клавишу <?> (HELP), n <D> (Directory) – настройка Alpine
функциональности оба клиента схожи, для создания и отправки сообщения для использования с сервером ка-
но, как представляется на наш субъек- <C> (COMPOSE MESSAGE), для про- талогов LDAP.
тивный взгляд, Alpine выделяется бо- смотра сообщений в текущей актив- n <K> (Kolor) – установка пользо-
лее удобным интерфейсом. Скачиваем ной папке (папка, которая открывалась вательских цветов для различных
пакет alpine_2.00_i386.deb с этой стра- последней) клавишу <I> (MESSAGE частей почтового клиента.
ницы – http://www.washington.edu/alpine/ INDEX), для просмотра списка папок n <M> (S/MIME) – настройка исполь-
acquire. Alpine, в репозиториях Debian <L> (FOLDER LIST), для просмотра ад- зования S/MIME для проверки под-
Etch 4.0, находится в Backports в виде ресной книги <A> (ADDRESS BOOK), писанных сообщений, расшифров-
пакета версии 1.10, которая перекоче- для выхода из программы нажимаем ки сообщений, а также для подпи-
вала в основной репозиторий Debian <Q> (QUIT). си или шифрования исходящих со-
Lenny 5.0. Переходим в консоль, полу- Для перехода в режим конфигура- общений.
чаем права администратора и выпол- ции программы, как видно на рис. 1, n <Z> (RemoteConfigSetup) – нас-
няем команду: надо нажать клавишу <S>. В данном тройка удаленной конфигурации,
режиме, изображенном на рис. 2, например, для использования
dpkg -i alpine_2.00_i386.deb пользователь получает широкие воз- с сервером, работающим по про-
можности для настройки программы: токолу IMAP.
Впоследствии, если появится не- n <E> (Exit Setup) – мы вернемся n <X> (eXceptions) – настройка ко-
обходимость, программу можно будет в главное меню Alpine, которое рас- манды-переключателя, которая ме-
удалить следующим способом: смотрели выше. няет поведение других команд.

46
 Нажимаем <C> и переходим в ре-
жим настройки своей учетной записи.
Заполняем поле Personal Name – ваше
имя, отображаемое в поле «От» перед
почтовым адресом писем, которые вы
отправляете.
В User Domain указываем имя до-
мена почтового сервера, то, что в ва-
шем почтовом адресе следует за име-
нем пользователя. Например, ес-
ли почтовый адрес выглядит так –
имя@gmail.com, то доменом почтово-
го сервера будет – gmail.com.
В поле SMTP server (for sending)
прописываем имя почтового сервера
для отправки электронных писем. На-
пример, для почтового ящика на сер-
вере gmail.com – smtp.gmail.com.
В Inbox Path указываем – pop.gmail. Рисунок 1. Старт программы Alpine
com/user=имя@gmail.com/pop3/ssl.
Для использования imap-сервера
вместо /pop3/ssl необходимо прописать
/imap/ssl и, конечно, pop.gmail.com из-
менить на imap.gmail.com.
Для задания Alpine пути к локаль-
ному архиву входящей почты использу-
ется поле Incoming Archive Folders. Ука-
жем в нем, например: /home/имя/mail,
что означает – почта будет сохранять-
ся в домашнем каталоге пользователя
в директории mail. Последнюю необхо-
димо создать перед началом настрой-
ки почтовой программы. Все настройки
завершены. Нажимаем клавишу <E>
и попадаем в главное меню.
Подключимся к почтовому серверу.
Для этого переходим к списку папок
<L>. Нажимаем <Enter> на Incoming-
Folders, а затем на INBOX, отвечаем
«Да» (Y) на вопрос «Re-open folder to Рисунок 2. Окно конфигурирования Alpine
check for new message?» (открыть вхо-
дящие с проверкой получения новых ма), Cc (адреса, на которые отправить трумент для работы с электронной поч-
сообщений?). Вы увидите список со- копии письма), Attchmnt (приложение), той, процесс настройки и работы с ко-
общений из папки «Входящие» на поч- Subject (тема письма). Заполняем тело торым познавательный и интересный.
товом сервере. сообщения после Message Text. В данной статье мы затронули толь-
Для сохранения письма в локаль- Если требуется прикрепить файл ко «верхушку айсберга». Читателям
ную папку saved-messages необходимо к письму, то перемещаем курсор на лю- будет интересно узнать, что програм-
нажать «S». Чтобы вернуться к преды- бое поле заголовка письма, например, му использует создатель ядра опера-
дущему экрану, надо нажать «<» (со- To, нажимаем «^J» (<Ctrl> + <J>) и про- ционной системы GNU/Linux – Линус
ответственно «>» – вперед). Перехо- писываем путь к файлу. Например, Торвальдс [3]. Приглашаем вас в мир
дим в Mail, где находятся локальные если файл arch.zip хранится в корне Alpine!
папки: sent-mail (отправленные сооб- домашнего каталога пользователя,
щения), saved-messages (сохраненные то прописываем: /home/arch.zip. 1. http://www.washington.edu/pine/overview/
сообщения). Для отправки письма нажимаем legal.html.
Подготовим и отправим письмо. «^X» (<Ctrl> + <X>), вводим имя поль- 2. ht t p: // w w w.was hin gto n.e du /alp ine /
Находясь в главном меню, переходим зователя и пароль, и все – сообщение overview/story.html.
в COMPOSE MESSAGE или нажима- отправлено. 3. h t t p : / / w w w . l i f e h a c k e r . c o m . a u /
ем клавишу <C>. Заполняем поля To Несколько слов в заключение. tips/2008/01/31/lifehacker_australia_
(электронный адрес получателя пись- Alpine – это свободный и гибкий инс- interview.html.

№4, апрель 2009 47

Выбираем антивирус для небольшой сети

Сергей Яремчук
Сегодня на рынке предлагается большое количество антивирусных пакетов, ориентированных
на применение в организациях разного размера, и, несмотря на некоторое сходство
в архитектуре, все они весьма отличаются функционально, не говоря уже о стоимости. В итоге
выбрать наиболее подходящее не так уже и просто.

У
читывая, что в каталогах одного
поставщика имеется несколько
комплексных решений, рассчи-
танных на сети разного размера, чтобы
не перебирать все, определимся с па-
раметрами будущей сети. Пусть это бу-
дет небольшая сеть на 50 рабочих мест,
имеющая файловый и почтовый серве-
ры, выход в Интернет защищает шлюз.
Использование «обычных» персональ-
ных антивирусов для защиты тако-
го количества систем крайне неудоб-
но, ведь все операции, начиная с ус-
тановки, настройки и контроля за об-
новлениями, придется выполнять вруч-
ную. В итоге все старания могут быть
сведены на нет, например, если поль-
зователь отключил монитор или базы
по разным причинам вовремя не обно-
вились. Хотя сегодня в небольших ор-
ганизациях еще нередко можно встре-
тить системного администратора, бе-
гающего с флешкой, обновляющего
таким образом антивирусные базы.
Специализированные решения,
построенные по клиент-серверной схе-
ме, более предпочтительны, так как
они обеспечивают централизованное
управление, упрощенную процедуру
развертывания, контроль за работой
агентов и выполнением всех предус-
мотренных заданий и политик, уста-
новку обновлений с единой локаль-
ной базы, экономя интернет-трафик,
создание отчетов и так далее.
В статье вы не найдете тестов ан-
тивирусных движков и информации о
количестве записей в базе. Основное
внимание уделено особенностям реа-

48
лизации антивирусных продуктов 7 по-
пулярных разработчиков, подходящих
для решения нашей задачи, – компо-
нентам, возможностям клиентского
модуля и централизованного управле-
ния. Ориентировочная цена приведена
в таблице 1. Окончательную цену со-
ставить тяжело, так как на её формиро-
вание может повлиять срок лицензии
(на два года – дешевле), количество
одновременно покупаемых продуктов
или лицензий на одно решение, скид-
ки и акции магазинов и так далее. Что-
бы легче было определиться и увидеть
отличия, основные параметры сведе-
ны в таблицу 2.
Сразу отвечу на два вопроса, ко-
торые, скорее всего, возникнут у чи-
тателя. Да, вполне возможно устано-
вить шлюз, файловый и почтовый сер-
вер на *BSD или GNU/Linux, для защи- Консоль управления Kaspersky Administration Kit
ты которого использовать свободный
антивирус ClamAV. Таким образом не-
сколько уменьшить итоговую стои-
мость, хотя и за счет некоторой де-
централизации управления. Такие ре-
шения неоднократно рассматривались
на страницах журнала, поэтому ес-
ли есть соответствующий опыт, мож-
но самостоятельно собрать нужную
систему из «кирпичиков». Также час-
то рекомендуют на компонентах сети
сервер/шлюз/ПК использовать анти-
вирусы разных разработчиков. Неко-
торый смысл в этом есть, так как всег-
да существует вероятность, что во вре-
мя очередной эпидемии одна из ком-
паний среагирует чуть быстрее. Да и
мне неоднократно попадались виру-
сы, в том числе и старые, которые оп-
ределялись далеко не всеми движка-
ми. Но суммарная стоимость будет вы-
ше, а вот говорить о том, что приме-
нение двух антивирусов вдвое увели-
чит защиту, не приходится. Посколь-
ку, точно следуя логике, «одна среа-
гирует быстрее», нужно согласиться
с тем, что непременно другая среаги- Консоль администратора Dr.Web Enterprise Suite
рует медленнее.
организаций и защищающих рабочие и имеет все необходимое для реше-
«Лаборатория станции и смартфоны, файловые, поч- ния такой задачи.
Касперского» товые серверы и шлюзы. Кроме этого Непосредственно на рабочих стан-
«Лаборатория Касперского» для защи- предлагаются и продукты для защиты циях и серверах, подлежащих защите,
ты корпоративной сети любого масш- отдельных узлов сети. Для целостной устанавливается специализирован-
таба и сложности предлагает линейку защиты сети любого масштаба пред- ная версия антивируса. Здесь следу-
продуктов, объединенных общим наз- ложен Kaspersky Total Space Security, ет отметить весьма большой список
ванием Kaspersky Open Space Security. который может состоять из 17 ком- систем и решений: рабочие станции
KOSS состоит из четырех решений, понентов (полный список на http:// (Windows, Linux), мобильные системы
ориентированных на разный уровень www.kaspersky.ru/total_space_security) (Windows Mobile, Symbian), файловые

№4, апрель 2009 49

серверы (Windows, Linux, NetWare), сов- нескольких связанных друг с другом на установочном компакт-диске и стра-
местной работы (Exchange 2003/2007, серверов администрирования с под- нице загрузки продуктов «Лаборато-
Lotus Notes/Domino), почтовые серверы держкой их иерархии. рия Касперского». Для небольшого
(Sendmail, Qmail, Postfix, Exim) и шлю- Особенностью решения Kaspersky офиса его возможностей вполне до-
зы (Microsoft ISA Server, Check Point Administration Kit является объедине- статочно, и во время установки он об-
FireWall) и другие. ние в логическую сеть всех подклю- наруживается автоматически без лиш-
Для централизованного управления ченных к серверу администрирова- них донастроек.
используется Kaspersky Administration ния компьютеров, а также подчинен- Принцип лицензирования в продук-
Kit, фактически состоящий из трех со- ных серверов. Такая сеть не связана с тах KOSS самый простой – указыва-
ставляющих, которые необязательно топологией физической сети, хотя при ем количество систем, на которые бу-
должны быть установлены на одном автоматическом ее формировании за дут установлены компоненты, вне за-
компьютере: основу берутся текущие сетевые на- висимости от того, рабочая это стан-
n оснастки MMC – выполнение на- стройки. Каждая группа может иметь ция или сервер, и без подсчета поч-
строек и получение информации свои политики и настройки. Таким об- товых ящиков или пользовательских
о состоянии защиты; разом, очень просто создать конфигу- аккаунтов.
n агент администрирования – обес- рацию системы защиты, удовлетворя-
печивает взаимодействие между ющую любым условиям. «Доктор Веб»
сервером и установленным на ком- Для работы сервера администри- Компания «Доктор Веб» предлагает
пьютере антивирусным приложе- рования необходим SQL-сервер. Здесь несколько комплексов защиты, объ-
нием; подходит MySQL, Microsoft SQL Server единенных под названием Dr.Web
n сервер администрирования – не- 2000/2005/2008, Microsoft SQL Server Security Suite. И в отличие от продуктов
посредственное управление рабо- 2000 Desktop Engine (MSDE) или SQL «Лаборатория Касперского» каждое
той агентов и лицензиями, хране- Server 2005 Express Edition. ориентировано на применение исклю-
ние настроек, сбор информации. Как видите, все составляющие чительно в своей сфере: настольные
Kaspersky Administration Kit зависят системы, почтовые и файловые серве-
Интерфейс консоли локализован от платформы. ры, Интернет и SMTP-шлюзы, мобиль-
и достаточно прост в освоении. Пре- Подготовленная версия MSDE 2000 ные устройства и так далее. В контекс-
дусмотрена одновременная работа SP 3 для Administration Kit доступна те статьи нас будет интересовать:

Редактор конфигурации в ESET Remote Administrator Console

50
n Dr.Web Enterprise Suite (ES) – за- навливается на все защищаемые ком-
щита рабочих станций и серверов
под управлением Windows 98-Vista,
с возможностью централизованно-
го управления;
n Dr.Web для файловых серверов
Windows/UNIX/Novell NetWare;
n Dr.Web д ля интернет- шлюзов
UNIX;
n Dr.Web для почтовых серверов
UN IX / MS E xchange/ I BM Lotus
Domino.
Функции последних трех, думаю,
понятны, интерес может вызвать ES.
Это решение также имеет клиент-сер-
верную архитектуру, позволяя управ-
лять удаленными клиентами при по-
мощи единого графического интер-
фейса.
Состоит ES из антивирусного сер-
вера (ES-сервера), консоли админи-
стратора, SQL-сервера и ES-агента.
Назначение всех компонентов, в об-
щем, аналогично KOSS, отличия со-
ставляет лишь агент. Здесь в отличие
от «Касперского» агент является пол-
ноценным антивирусом, который уста-
Консоль управления продуктами McAfee – ePolicy Orchestrator
№4, апрель 2009
n вручную при помощи у тилиты
пьютеры и сам антивирусный сервер. drwinst – подходит для большинст-
Агент включает все, что пользователи ва сетей;
привыкли видеть в продуктах Dr.Web, – n удаленно при помощи ES-консоли –
антивирусный сканер, файловый мо- в документации сказано, что лучше
нитор SpIDer Guard, почтовый фильтр подходит не для массового развер-
SpIDer Mail. Именно поэтому во избе- тывания, а при обычной работе, хо-
жание конфликтов на рабочих станци- тя с его помощью установить аген-
ях не должно быть установлено другое та систем на 50 вовсе не проблема-
антивирусное ПО, в том числе другие тично;
версии Dr.Web. Кстати, в большинс- n используя возможности Active
тве рассматриваемых в статье реше- Directory – для этого с сайта сле-
ний уже рабочий антивирус этого про- дует скачать специальный инстал-
изводителя можно просто подключить лятор.
к серверу для централизованного уп-
равления, что довольно неплохо, осо- Обновление агентов и антивирус-
бенно в том случае, если за него уп- ных баз производится централизован-
лачено. но с антивирусного сервера, но аген-
Специальный компонент позволя- ты, установленные на мобильных сис-
ет администратору, подключившись темах и находящиеся вне своей сети,
к ним, удаленно просканировать ком- «умеют» обновляться напрямую с сай-
пьютеры в «тихом» режиме. В этом тов Dr.Web.
случае пользователь вообще не заме- Сервер в базе данных содержит на-
тит работу сканера, а администратор стройки агентов, статистику по скани-
может наблюдать за проверкой в ре- рованиям и найденным вирусам и про-
альном времени. Для установки аген- чую информацию. В одной сети может
тов предложено использовать один быть несколько ES-серверов, связан-
из трех способов: ных с главным сервером.
51
 чих станций, шлюзов, почтовых и фай-
ловых серверов. Для решения нашей
задачи выбираем три:
n ESET NOD32 Smart Security Business
Edition – сканирование Windows
2000/XP/Vista;
n ESET NOD32 Gateway Security for
Linux/BSD/Solaris;
n ESET NOD32 for MS Exchange Server/
IBM Domino/Linux Mail Server.

Из них Smart Security Business

Edition (SMBE) является комплексным
решением, обеспечивающим защи-
ту как рабочих станций, так и серве-
ров. Его основой является антивирус-
ный модуль ThreatSense, плюс вклю-
чены модули персонального бранд-
мауэра и антиспама. Персональный
брандмауэр обеспечивает сканирова-
ние сетевых соединений на уровне ка-
Основная страница Symantec Endpoint Protection Manager нала, определяет и блокирует многие
типы сетевых атак, отслеживает из-
Архитектура серверной части не- n файловых серверов Windows/UNIX/ менения в исполняемых файлах, уме-
зависима от платформы, что позво- Novell NetWare; ет проверять HTTP- и POP3-трафик.
ляет установить его как на Windows n электронной почты на почтовых Также модуль ThreatSense может ин-
NT/2000/XP/2003 Server, так и на UNIX- серверах под управлением UNIX/ тегрироваться в популярные почтовые
системах – Linux, FreeBSD (5.1-7.0) Microsoft Exchange\Lotus Domino клиенты (MS Outlook, Outlook Express,
или Solaris (х86). В Linux-версии име- (антивирус и антиспам); Windows Mail и другие).
ются пакеты для ASPLinux, Debian Etch/ n интернет-шлюзов UNIX. Реализовано три режима настрой-
Sarge, Fedora Core, SuSE, Mandriva, ки правил фильтрации: автоматичес-
Ubuntu (для некоторых и под 64-битную Также хотелось бы особо отме- кий, интерактивный или устанавли-
систему), а также Linux generic под раз- тить, что это единственное решение, вающийся централизованно на осно-
ные версии Glibc (2.3 – 2.7). В качестве для которого нельзя официальным ве политик. В последнем случае со-
БД может быть использована встроен- путем получить ключ и построить тес- единения, не разрешенные в прави-
ная СУБД (IntDB), подключение через товую платформу, включающую все лах, будут заблокированы. Поддер-
ODBC (для Windows) или PostgreSQL компоненты, и таким образом опре- живается работа с файловыми серве-
(в UNIX). Консоль управления написа- делиться в выборе. При заказе клю- рами на платформах Windows, Novell
на на Java, поэтому ее установка воз- ча для сервера предлагается устано- Netware и Linux/BSD/Solaris.
можна в любой системе, для которой вить Dr.Web для Windows, который под- Для централизованного админист-
доступен JRE не ниже 5.0. Для анти- ходит лишь для агентов и Антивиру- рирования продуктов ESET использу-
вирусного сервера с агентами может су Dr.Web для Windows Mobile. Второй ется Remote Administrator (ERA), состо-
использоваться как протокол TCP/IP, ключ для сервера, несмотря на хоро- ящий из трех компонентов:
так и IPX/SPX/NetBIOS, что позволяет шо налаженную службу технической n сервер ERA (ERA Server, ERAS);
не менять настройки сети. Предусмот- поддержки и мои двухнедельные по- n консоль ERA (ERA Console, ERAC);
рена возможность шифрования и сжа- пытки, я так и не получил. И только n сервер-зеркало – локальный сер-
тия соединения, что позволяет безо- благодаря диску журнала [1], на кото- вер обновлений.
пасно администрировать сеть через ром нашелся нужный файл, удалось
Интернет и экономить трафик. проверить Dr.Web Security Suite в ра- В сети может функционировать лю-
Кроме этого имеется несколько боте. Если так добивается тестовых бое количество серверов, поддержи-
готовых комплектов для организаций ключей любой клиент, желающий по- вается репликация данных на основ-
разного размера, в том числе и об- смотреть на решение вживую, то, при- ной (родительский) сервер. При по-
разовательных учреждений. Под на- знаюсь, подход компании несколько мощи ERAS можно выполнять уда-
шу задачу подходит комплект Dr.Web непонятен. ленную установку и удаление антиви-
«Универсальный», обеспечивающий руса, настраивать параметры его ра-
защиту: ESET боты и создавать зеркало обновле-
n рабочих станций Windows (Антиви- На сайте компании ESET для корпора- ний. Администратор определяет, какая
рус Dr.Web Enterprise Suite) – от 5 тивных клиентов предлагается 6 про- информация и с какой периодичнос-
до 100 (шаг 5 станций); дуктов, обеспечивающих защиту рабо- тью будет передаваться на родитель-

52
ские серверы автоматически, а какая в котором реализована антивирусная n McAfee WebShield SMTP – SMTP-
только по запросу. ERAS функциони- защита для всех компонентов – рабо- шлюз, осуществляющий скани-
рует как служба, поэтому для его ус- чих станций, интернет-шлюза, почто- рование входящего и исходящего
тановки понадобится компьютер с ОС вого и файлового сервера. В табли- почтового трафика, с интегриро-
Windows на ядре NT (NT4, 2000, XP, це показано, что кроме антивирусов ванным контент-фильтром.
2003). Для хранения данных ERAS ис- сканирующий движок обнаруживает
пользует MDAC (Microsoft Data Access и spyware, но только Partial (частично). Централизованное управление за-
Components), кроме того, некоторые В состав пакета включены: щитой осуществляется при помощи
элементы сохраняются в отдельных n McAfee VirusScan Enterprise – ан- ePolicy Orchestrator (ePO). Его задача,
файлах в каталоге Storage. Кстати, ли- тивирус для рабочих станций и сер- в общем, аналогична другим подоб-
цензионное соглашение не наклады- веров Windows; ным решениям: управление настрой-
вает на количество ERAS никаких огра- n McAfee  NetShield  for  Netware – ками антивирусов, установка обнов-
ничений, лицензия NOD32 SS BE тре- антивирус для серверов Novell лений через центральное хранилище
буются только для клиентских компью- Netware; Software Repository, получение при по-
теров или автономных, файловых сер- n McAfee  VirusScan  Command  мощи AV Informant отчетов о работе за-
веров под управлением Windows OS, Line – антивирус командной строки щиты и отдельных компонентов. Адми-
Novell и Linux. для систем DOS, Windows и различ- нистратор может задавать единую по-
ных вариантов UNIX-систем, вклю- литику безопасности, включая нали-
McAfee чая Linux; чие патчей безопасности от Microsoft
C нужными продуктами McAfee не так n McAfee GroupShield for Microsoft  для всех систем или отдельных групп.
легко сразу определиться, и в этом Exchange – антивирус для серве- EPO построен по клиент-сервер-
очень помогает страница McAfee SMB ров Microsoft Exchange 2000/2003/ ной схеме, напоминающей Kaspersky
Product Comparison [2]. Здесь в двух 2007; Administration Kit, то есть в клиентские
вкладках Protection Type и Protection n McAfee  GroupShield  for  Lotus  системы кроме непосредственно про-
Area довольно просто выбирать про- Domino – антивирус для Lotus дукта, осуществляющего защиту, ус-
дукт, удовлетворяющий нужным ус- Domino от версии 6.0.3, работаю- танавливается небольшой по размеру
ловиям. Для нашего примера наибо- щего под управлением Windows агент. Агент, получая команды от сер-
лее подходит пакет McAfee Active Virus 2000/2003 или Solaris от 2.6, IBM вера и отсылая отчеты, осуществля-
Defense. Это комплексное решение, AIX 4.3.3/5.1/5.3; ет непосредственное управление на-

Окно настроек консоли F-Secure Policy Manager

№4, апрель 2009 53

 Портал F-Secure PSB с клиентом F-Secure PSB Workstation

Консоль Safe'n'Sec Admin Explorer с подключенным клиентом

54
стройками клиентской программой.
Мобильные системы производят об- Safe'n'Sec Enterprise программы, для которых еще нет сигнату-
новления сигнатур при подключении Еще один продукт, о котором бы хотелось ры в антивирусных базах. Еще один плюс
к локальной сети или самостоятельно вкратце рассказать, подходит под вы- Safe'n'Sec – не требуется постоянное об-
через Интернет. Для установки ePO двинутые требования лишь частично, но, новление баз. Кроме обычной, существу-
на сервер понадобятся компьютер учитывая его возможности и стоимость, ют версии клиентской программы, содер-
под управлением Windows 2000 SP4/ умолчать не имею права. Речь идет о сис- жащие антивирусный модуль Dr.Web и мо-
2003 SP1/2/R2, консоль Windows 2000/ теме предотвращения вторжений (HIPS, дуль защиты от программ-шпионов. В этом
XP/2003/Vista. В качестве SQL-серве- Host Intrusion Prevention System) Safe'n'Sec случае обеспечивается и лечение заражен-
ра для небольших организаций реко- Enterprise, разрабатываемой российс- ных файлов.
мендован Microsoft SQL Server 2005 кой компанией S.N.Safe&Software (http:// Централизованное управление обеспе-
Express Edition, поддерживается SQL www.safensoft.ru). В отличие от других про- чивается при помощи двух программ:
Server 2000/2005. Сегодня доступны грамм обзора она не является антивиру-  Safe'n'Sec Admin Explorer – консоль уп-
две версии ePO: в 3.6.1 консоль реа- сом как таковым. В клиентских модулях равления, используемая для удаленно-
лизована в виде MMC, в 4.0.0 – в виде Safe'n'Sec Timing Client используется собс- го администрирования системы безо-
веб-сервиса. Во втором варианте для твенная технология проактивной защиты пасности;
взаимодействия с сервером использу- V.I.P.O. (Valid Inside Permitted Operations),  Service Center – сервер, при помощи ко-
ется протокол HTTP/HTTPS, что позво- основанной на разграничении системных торого непосредственно производится
ляет работать через Интернет с любой привилегий при работе компьютера. управление клиентскими программа-
платформы. После установки клиент сканирует сис- ми, их централизованное обновление
В политиках ePO также задают- тему, создает профиль приложений и фор- и создание отчетов и оповещение ад-
ся установки для программ-антишпи- мирует список доверенных программ (кон- министратора о возникновении опре-
онов и персонального брандмауэра тролируется хеш SHA-256). При появлении деленных событий.
McAfee Desktop Firewall. Кроме продук- активности, затрагивающей целостность
тов McAfee, ePO поддерживают и неко- системных файлов или реестра, а также В качестве СУБД используются MSDE
торые версии Symantec Norton Antivirus нового процесса, соответствующая опе- 2000 SP3, MS SQL 2005 Express Edition
для серверов и рабочих станций. рация блокируется, а пользователю вы- или MS SQL Server от 2000 SP, поддержи-
дается запрос на ее подтверждение. Та- ваемые ОС Microsoft Windows 2000SP3/
Symantec ким образом, технология, используемая в XP/2003/Vista. Клиентская лицензия на 50
Продукция Symantec довольно хоро- Safe'n'Sec, позволяет блокировать любые рабочих мест, включая Admin Explorer
шо известна ИТ-специалистам, те, кто известные и неизвестные вредоносные и Service Center, составляет 27600 руб.
работал в Windows 9х, хорошо помнят
антивирус Norton AntiVirus, обновлен- вать доступ пользователей и работа- Manager устанавливаются на ОС
ная версия которого выпускается этой ющих программ к процессам, файлам Windows от 2000, в качестве SQL-ба-
корпорацией до сих пор. Сегодня для и каталогам, контролировать элемен- зы данных может быть использова-
небольших компаний предложен па- ты ОС и реестра, модулей и элемен- на как встроенная, так и MS SQL 2000
кет Symantec Endpoint Protection Small тов операционной системы и приложе- SP3/2005. Кроме этого, для установ-
Business Edition 11.0, фактически состо- ний. За дополнительную плату досту- ки потребуется наличие IIS. Встроен-
ящий из двух решений: пакета Symantec пен модуль Symantec Network Access ная БД на основе Sybase рекоменду-
Endpoint Protection 11.0 (SEP) и антиви- Control, обеспечивающий проверку ется при подключении до 100 клиен-
руса Symantec Mail Security for Microsoft систем и определяющий на основе по- тов и автоматически устанавливается
Exchange (Symantec Mail Security for лученных данных права доступа к се- при выборе режима инсталляции сер-
SMTP/Domino/Enterprise Edition). ти и ресурсам. вера управления «Простой». При соб-
Клиент SEP является логическим Список под держиваемых к ли- людении всех требований установка
продолжением Norton AntiVirus и обес- ентских машин и серверов довольно сервера достаточно проста, в ее ходе
печивает защиту от вирусов и шпион- большой: ОС Windows 2000/XP/2003/ можно указать другой порт для веб-
ских программ, фильтрацию открыто- Vista/2008 (разных редакций), Linux сайта доступа, с которого скачивает-
го и шифрованного сетевого трафика, (Red Hat Enterprise Linux от 3.x, SuSE ся клиент управления. По окончании
система защиты от атак Generic Exploit Linux Enterprise (server/desktop) от 9.x, установки запускается мастер пере-
Blocking позволяет блокировать угро- Novell Open Enterprise Server (OES/ носа и развертывания, который по-
зы эксплуатирующих уязвимости, инс- OES2), Ubuntu от 7.x и Debian 4.x), а так- может развернуть антивирус на кли-
трумент VxMS (Veritas Mapping Service) же VMWare ESX 2.5, 3.x. Что немало- ентских системах и перенести группы
позволяет обнаруживать руткиты. Кро- важно, все ОС могут быть как 32, так и и политики с родительских серверов
ме сигнатурного анализа, модуль про- 64-битных версий. Особо отмечено, Symantec AntiVirus.
активной защиты Proactive ThreatScan что Itanium не поддерживается (как и В критериях поиска клиентов мож-
обнаруживает заразу на основе анали- всеми остальными решениями). но указать более 30 параметров, вклю-
за поведения приложений. Админист- Управление осуществляется с еди- чая имя пользователя, компьютера,
ратор имеет возможность контроли- ной консоли. Сервер и консоль управ- группу, IP-адрес и даже такие, как час-
ровать и при необходимости блокиро- ления Symantec Endpoint Protection тота процессора, версия BIOS и так да-

№4, апрель 2009 55

 Таблица 1. Приблизительные цены системы защиты для 1 шлюза, 50 рабочих станций, 1 файлового сервера, 1 почтового сервера
(предоставлены ЗАО «Софткей» (http://www.softkey.ru)
Производитель Адрес
«Лаборатория http://www.kaspersky.ru
Касперского»
«Доктор Веб» http://www.drweb.com
ESET http://www.esetnod32.ru
McAfee http://www.mcafee.com/ru
http://www.symantec.com/
Symantec
ru
F-Secure* http://www.f-secure.ru
* Цена составлена по данным http://www.f-secure.ru, http://www.anysoft.ru и http://www.netsecret.ru
лее. Также хочется отметить наличие
удобного и понятного инструмента со-
хранения и восстановления базы сис-
темы защиты.
F-Secure
Решения F-Secure для малого и сред-
него бизнеса [3] включают в себя все
необходимые программные продукты,
позволяющие защитить от вирусов ра-
бочие станции, мобильные устройства,
файловые и почтовые серверы, шлю-
зы. Для удобства выбора представле-
ны готовые комплекты. Для наших ус-
ловий наиболее подходят два реше-
ния: F-Secure Anti-Virus Small Business
Suite (SBS) и F-Secure Protection Service
for Business (PSB), каждое по-своему
интересно. Лицензия на SBS ориенти-
рована на 5-99 систем.
56
Состав решения Стоимость отдельных  Суммарная стоимость  Варианты
компонентов готового решения
Kaspersky Total Space Security 53 комп х 2837 руб стоимость подписки –
на 1 год – 150361 руб.
Dr.Web Enterprise Suite на 50 ПК х 625 руб = Комплект «УНИВЕРСАЛЬНЫЙ-50»,
или 31250 руб. лицензия на 12 месяцев
«Антивирус Dr.Web для Windows» Dr.Web ES (Антивирус) 50 рабочих
станций + «Dr.Web® для Windows-
серверов» + «Dr.Web защита почты
(Антивирус+Антиспам)» 50 почт.
ящиков + «Dr.Web для интернет-
шлюзов» на 50 ПК, на 12 месяцев –
45250 руб.
«Антивирус Dr.Web «Защита на 50 ящиков 20250 руб. –
бизнеса (решения для почтовых (лицензия 12 месяцев) 111750 руб.
серверов)»
Или «Dr.Web Антивирус+Антиспам на 50 пользователей –
для почтовых серверов UNIX, 26250 руб.
MS Exchange, IBM Lotus Domino»
«Антивирус Dr.Web для интернет- на 50 ПК 20000 руб –
шлюзов» (лицензия 12 месяцев)
«Dr.Web для файловых серверов» 7000 руб –
(лицензия 12 месяцев)
ESET NOD32 Smart Security на 52 ПК 66600 руб. –
Business Edition
ESET NOD32 Gateway Security на 50 ПК 22450 руб. –
105437 руб.
for Linux/BSD/Solaris
Антивирус NOD32 Exchange на 50 ящиков 16387 руб. –
Mail Server
McAfee Active Virus Defense на 53 ПК х 2104.53 руб. 111540.09 руб. –
ProtectPLUS (Perpetual License
with 1yr Gold Software Support)
Endpoint Protection 11.0 на 53 ПК 47222.47 руб. –
Symantec Mail Security на 50 ящиков 80660.97 руб. –
for Microsoft Exchange 33438.50 руб.
F-Secure Anti-Virus Small Business 2144.35 руб. х 52 = –
Suite 111506.2 руб.
Или F-Secure Protection Service 825.00 руб х 52 = 139111.2 руб. –
for Business 42900 руб. или 70505 руб.
F-Secure Internet Gatekeeper 552.10 руб х 50 = –
27605 руб.
Состоит SBS из 4 компонентов: n F-Secure Policy Manager – систе-
n F - S e c u r e   A n t i - V i r u s   C l i e n t 
ма централизованного управле-
Security – интегрированное ре- ния, контроля, обновления и на-
шение для Windows 98/ME/NT4.0/ блюдения за работой систем бе-
2000/XP, включающее антивирус, зопасности.
антишпион, брандмауэр, сканер
руткит BlackLight и систему конт- Anti-Virus Client Security поддер-
роля поведения HIPS DeepGuard. живает также Cisco NAC (Network
Обеспечивается проверка POP3/ Admission Control), применение которой
SMTP/IMAP4/HTTP-трафика; позволяет гарантировать, что подклю-
n F-Secure  Anti-Virus  for  Windows  чающаяся к сети система будет удов-
Servers – защита файловых сер- летворять требованиям всех политик
веров Windows NT4.0/2000/2003 компании.
(32/62-бит) от вирусов, шпионско- Policy Manager построен по клиент-
го ПО и потенциально опасных про- серверной схеме, в которой управле-
грамм; ние настройками производится уда-
n F-Secure  Anti-Virus  for  Microsoft  ленно, при помощи терминала, но есть
Exchange – контроль исходящих свои особенности. Так, графические
и входящий сообщений Microsoft отчеты создаются в модуле, имеющем
Exchange 2000/2003/2007; название F-Secure Policy Manager Web
 Таблица 2. Возможности антивирусных систем

Производитель «Лаборатория «Доктор Веб» ESET McAfee Symantec F-Secure Anti-Virus F-Secure Protection
Касперского» Small Business Suite Service for Business
Управление ОС Windows Кроссплатформен- Windows 98/ Windows (версия Windows Windows 2000/ Поддерживают-
ное. Любая систе- Me/2000/XP 3.x) или WEB (4.x XP/2003 ся Internet Explorer
ма, поддержива- версия) 6.x или свежее
ющая JRE не ни- с разрешенными
же 5.0 JavaScript и cookies
Firefox 2.x, или све-
жее с разрешен-
ными JavaScript
и cookies, Profile
Editor требует Java
RE 1.6
Консоль  + + + – + – +
локализация
Сервер  Microsoft Windows Windows NT 4.0/ Windows на ядре Windows 2000/2003 Windows 2000/ Windows 2000/ Нет
управления ОС NT/2000/2003/2008/ 2000/XP/2003/2008, NT/2000/XP/2003 2003/2008 2003/XP(для не-
XP/Vista Linux, FreeBSD большого количес-
(до 7.0), Solaris тва соединений),
(x86 и Sparc) Linux
для 32- и 64-бит-
ных систем
СУБД MySQL, Microsoft Встроенная, под- Внутренняя MS SQL Server Встроенная, Встроенная Нет
SQL Server 2000/ ключение через 2000/2005/2005 MS SQL 2000SP3/
2005/2008, MSDE, ODBC, PostgreSQL Express Edition 2005
SQL Server 2005
Express Edition
Клиент ОС Windows, Linux, мо- Windows 95/98/Me/ Windows 2000/XP/ Windows 98/ME, ОС Windows Windows 98/ME/ Microsoft Windows
бильные системы NT/2000/XP/Vista Vista NT 4.0 SP6, 2000, 2000/XP/2003/ NT4.0/2000/XP 2000/XP/Vista
(Windows Mobile, (32-бит) 2003, XP, Vista, Vista/2008 разных (32-bit). Отдельная (32-бит)
Symbian) 2008 (в том чис- редакций и Linux возможность под-
ле Core Server); (Red Hat Enterprise ключения Linux
Windows Terminal Linux от 3.x, SuSE
Server от NT; Linux Enterprise
Microsoft Cluster (server/desktop)
Server (MSCS); от 9.x, Novell Open
XP Tablet PC, Citrix Enterprise Server
MetaFrame 1.8 (OES/OES2), Ubuntu
& XP; EMC Celerra от 7.x и Debian 4.x),
File Server а также VMWare
Novell Netware ESX 2.5, 3.x.
UNIX-системы в ко-
мандной строке
Клиент- Антивирус, проак- Антивирусный ска- Антивирус, бранд- Антивирус, частич- Антивирус, бранд- Антивирус, бранд- Нет
возможности тивная защита, за- нер, файловый мо- мауэр, антиспам, но Adware мауэр, проактив- мауэр антишпион,
щита файловой нитор, почтовый блокировка мно- ный модуль, защи- сканер руткит, кон-
системы, брандма- фильтр, «тихий» гих типов сете- та почты, контроль троль поведения
уэр с IDS/IPS, про- режим сканиро- вых атак, контроль процессов и при- (HIPS), Cisco NAC
верка POP3, IMAP, вания файлов ложений, Symantec
MAPI, NNTP, HTTP. Network Access
Антифишинг и ан- Control
тиспам
Почтовый сервер Sendmail, Qmail, UNIX/MS Exchange/ UNIX/MS Exchange/ Microsoft Exchange SMTP/Domino, Microsoft Exchange Нет
Postfix, Exim, IBM Lotus Domino IBM Lotus Domino 2000/2003/2007; Linux, Microsoft 2000/2003/2007
Exchange 2003/ Lotus Domino Exchange 2007
2007, Lotus Notes/ от 6.0.2 для
Domino Windows 2000/2003
Файловый  Windows, Linux, Windows/UNIX/ Windows, Novell Windows NT/2000/ То же, что и клиент Windows NT4.0/ Windows 2000/2003
сервер Samba, NetWare Novell NetWare Netware/ Linux/ 2003/2008 2000/2003 Server (32-бит)
*BSD/Solaris (32/62-бит)
Интернет-шлюз Microsoft ISA UNIX Linux/*BSD/Solaris SMTP-трафик, ус- Весь трафик SMTP/HTTP/FTP Нет
Server, Check Point тановка на Windows
FireWall NT/2000/2003

Reporting. Благодаря наличию готовых
шаблонов администратор может быс-
тро найти системы, в которых не уста-
новлены последние обновления, про-
верить настройки безопасности и так
далее. Заявлено, что один сервер мо-
жет управлять установкой ПО на 15 ты-
сяч узлов. При необходимости в одной
сети можно использовать несколько
серверов. Для отправки обновлений
антивирусных баз в удаленные офисы
используется специальный компонент
F-Secure Policy Manager Proxy.
Policy Manager поддерживает ус-
тановку на Windows Server 2000/2003
(XP, только консоль), есть и Linux-вер-
сия, ориентированная на установку
в: Red Hat Enterprise Linux 3/4, SuSE
Linux 9/10, SuSe Linux Enterprise Server
9 и Debian Sarge 3.1.
В том случае, если заявленной
функциональности не хватает, мож-
но использовать и другие продукты
F-Secure, которые обеспечивают защи-
ту рабочих станций и файловых серве-
ров на Linux, серверов Citrix, мобиль-
ных устройств и так далее. Все они
поддерживают управление при помо-
щи F-Secure Policy Manager. Хотя ко-
нечная цена такого решения, вероят-

№4, апрель 2009 57

 контроля приложений и спама. Центра-
лизованное управление производится
при помощи простого интерактивного
портала через Интернет. Сам портал
размещен на серверах F-Secure, поэто-
му отдельной системы для его установ-
ки не требуется, а сам портал доступен
из любого места в любое время.
Пользователю для доступа к порта-
лу выдается код подписки (subscription
code), который используется при ре-
гистрации. Аналогичный код подписки
вводится во время установки клиентов
(инсталляционные пакеты скачивают-
ся с портала). Система управления до-
статочно проста и к тому же локализо-
вана. Настройки производятся при по-
мощи профилей безопасности, сразу
после подключения доступны 7 пре-
дустановленных профилей для раз-
личных типов систем (1 – для серве-
ра, 2 – ноутбуки и 4 – офисные маши-
Модуль контроля приложений F-Secure блокирует неизвестные процессы ны). Отсутствие сервера обновлений
в локальной сети не увеличит трафик.
но, будет чуть выше. В частности, в нашем примере Secure Агент автоматического обновления при подключении к Ин-
Anti-Virus Small Business Suite следует дополнить F-Secure тернету скачивает файлы на одну рабочую станцию, отку-
Internet Gatekeeper, который предназначен для использова- да они распространяются на другие системы.
ния в интернет-шлюзах и обеспечивает фильтрацию почто-
вого (SMTP) и HTTP/FTP-трафика, а также контроль досту- Заключение
па, спама и содержимого. Итак, все системы защиты, несмотря на некоторую схожесть
Теперь следующий продукт – F-Secure PSB, доступный в архитектуре, все же очень отличаются по функциям и сто-
в двух версиях: Standard и Advanced. Это решение несколь- имости. На общем фоне выделяется решение от Symantec
ко иного рода. Возможности клиентской части F-Secure PSB и «Касперского» – оснащенный клиент для нескольких плат-
Workstation, предназначенной для защиты рабочих станций форм, удобная консоль, но первый обойдется гораздо де-
и серверов, работающих под управлением Windows, в об- шевле. Если говорить об экономии средств, то здесь не-
щем, аналогичны Client Security. То есть содержит средства плохо выглядят F-Secure PSB и Safe'n'Sec Enterprise. Учи-
защиты от вирусов, шпионского ПО и руткитов, имеет встро- тывая, что для F-Secure PSB не нужен свой сервера управ-
енный брандмауэр, средства предотвращения вторжений, ления с СУБД, это уменьшает стоимость и упрощает адми-
нистрирование, его можно рекомендовать для небольших
групп, не имеющих своего штатного администратора. Для
сети, в которую входят Windows-системы, можно пореко-
мендовать комплект Dr.Web «УНИВЕРСАЛЬНЫЙ», правда,
здесь нужно помнить, что за продление лицензии, вероят-
но, придется заплатить полную стоимость. Хотя у продук-
тов Dr.Web есть еще один плюс – клиент и сервер управле-
ния независимы от платформы, а работа агента практичес-
ки «незаметна». Решения ESET и F-Secure SBS находятся
примерно на одном уровне. Но первый хорошо знаком на-
шему пользователю, кроме того, консоль управления ло-
кализована, второй меньше стоит. McAfee впечатляет вы-
бором клиентских платформ, но сам клиент сильно отста-
ет по сравнению с другими решениями.

1. Архивный диск журнала «Системный администратор» – http://

www.samag.ru/disk.
2. McAfee SMB Product Comparison – http://shop.mcafee.com/
ProductRecommender.aspx.
3. Решения F-Secure для малого и среднего бизнеса – http://www.
При появлении нового процесса Safe'n'Sec блокирует его
выполнение до принятия решения пользователем f-secure.ru/small_businesses/products_a-z.

58
 Тотальная защита локальных сетей
В этот раз на тестирование в редакцию попало устройство Dr.Web Office Shield. Устройство
от именитой фирмы предназначено для обеспечения антивирусной защиты локальных сетей.
Не секрет, что подобных устройств существует достаточно много – многие антивирусные
компании имеют их в своих продуктовых линейках. Но в отличие от своих конкурентов
Dr.Web Оffice Shield в дополнение к функциям защиты почтового и интернет-трафика может
защищать еще рабочие станции и серверы, так как в состав программного обеспечения
устройства входит хорошо себя зарекомендовавший продукт от компании «Доктор Веб» –
Dr.Web Enterprise Suite. Явными преимуществами можно назвать то, что аппарат обладает
весьма скромными размерами, нетребователен в обслуживании и рассчитан на обслуживание
неквалифицированным персоналом – в сопровождающих поставку инструкциях все этапы
настройки расписаны достаточно подробно и богато проиллюстрированы. На этом преамбулу
считаем законченной и приступаем непосредственно к тестированию.

С
разу после распаковки уст-
ройство согласно инструкции
было подк лючено в локаль-
ную сеть через разъем LAN1, которо-
му по умолчанию соответствует ад-
рес 192.168.1.100. Настройка устройст-
ва полностью проходит через веб-ин-
терфейс, поэтому в качестве первого
шага открываем в браузере страницу
https://192.168.1.100:1000 и загружаем
полученные лицензионные ключи. Воп-
реки всем ожиданиям выполнение этой,
казалось бы, достаточно простой зада-
чи вызвало ряд затруднений, так как
браузер от Microsoft (IE7) отказался их
загружать, и загрузку пришлось выпол-
нять с помощью Firefox. Как ни стран-
но, в дальнейшем при выполнении на-
строек ни в IE7, ни в Firefox проблем за-
мечено не было. Здесь же необходимо
отметить, что для устройства важен по-
рядок загрузки ключей – вначале необ-
ходимо загрузить enterprise.key, затем
agent и только потом drweb. Как пояс-
нили разработчики, это связано с осо-
бенностями реализации функционала
в вошедших в состав устройства про-
дуктов компании. После загрузки клю-
чей в веб-интерфейсе становятся до-
ступными страницы настроек.
Первым делом меняем пароль, уста-
навливаем, если это необходимо, пра-
вильное системное время и выбира-
ем удобный для нас язык локализации.
По умолчанию устройство способно ра-
ботать в качестве основы локальной се-
ти – на нем запущены серверы DHCP
и DNS. Поскольку в нашей сети сервер
DHCP уже есть, то переходим на стра-
ницу «Настройки DHCP» и снимаем
соответствующую галочку. Просто ос-
танавливаем работу данного сервиса
на странице «Сервер DHCP», на кото-
рую можно перейти из расположенно-
го справа меню. Привычная для многих
администраторов функция прямого ре-
дактирования списка сервисов в уст-
ройстве отсутствует, так как необходи-
мость их функционирования во многом
зависит от функционала, прописанно-
го в лицензионных ключах, и их простое
включение может привести к различно-
го рода проблемам. Поскольку диапа-
зон нашей локальной сети отличается
от используемого в устройстве по умол-
чанию, то выбираем «Сетевые интер-
фейсы» и меняем адрес LAN на рабо-
чий – в данном случае 192.168.10.7. На-
жимаем «Применить» и дожидаемся
обновления страницы веб-интерфейса.
В Dr.Web Оffice Shield, также по умол-
чанию, реализована защита беспро-
водных сетей и VPN. Поскольку ни то
ни другое нам не нужно, то отключаем
их соответственно на страницах «Сете-
вые интерфейсы» и «Настройки VPN».
Так как настройки DNS и WAN в дефол-
тном состоянии нас устраивают, то под-
ключаем кабель WAN к LAN3. Устройс-
тво получает адрес по DHCP, исходя-
щий шлюз и внешние DNS.
Проверяем фильтрацию веб-трафи-
ка. Меняем настройки рабочей стан-
ции с DHCP на ручные, указываем ус-
тройство в качестве исходящего шлю-
за и пытаемся загрузить тестовый ин-
фицированный файл со страницы http://
www.eicar.org/anti_virus_test_file.htm.
Результатом данной попытки являет-
ся уведомление о блокировке – что и
требовалось получить. Для тестирова-
ния сервиса фильтрации почты можно
послать тот же псевдовирус в качестве
вложения. Работа же сервиса фильтра-
ции спама становится заметной прак-
тически сразу – весь приходящий спам
по умолчанию помечается префиксом.
Переходим в соответствии с ин-
струкцией к проверке Dr.Web Enterprise
Suite. Установку агентов защиты мож-
но проводить как вручную, так и авто-
матически – через консоль. Как обыч-
но, проводим установку вручную, путем
запуска «drwinst 192.168.10.7». Правда,
вопреки инструкции не копируем не-
обходимые файлы на каждую рабочую
станцию, а просто монтируем сетевой
ресурс. Установка успешно прошла на
MS Windows XP Home, MS Windows XP
Prof и MS Windows Vista Home. Все ус-
тановленные клиенты обновились,
станции были перезагружены, и защи-
та локальных компьютеров заработа-
ла в штатном режиме. Устанавлива-
ем консоль Enterprise Suite, с которой
в дальнейшем будем проводить на-
стройку параметров работы антивирус-
ной защиты сети. Также, вопреки инс-
трукции, опять ничего копировать не бу-
дем, а просто подключаем сетевой ре-
сурс \\192.168.10.7\\public как диск и за-
пускаем drweb-*-consolewindows.exe
прямо оттуда. После установки пере-
таскиваем иконку консоли на рабочий
стол и запускаем консоль, как указано
в инструкции.
Итак, испытания показали, что ус-
тройство удовлетворительно работает
и может быть рекомендовано для ис-
пользования при условии точного соб-
людения приложенных инструкций.
Вячеслав Медведев

№4, апрель 2009 59

Обновление конфигурации.
Как избавить себя от лишних проблем

Андрей Луконькин
Редко какая организация может работать в типовой программе. Рано или поздно понадобятся
изменения или обновления. И вот когда сначала вносятся изменения, а потом возникает
потребность в обновлении, тогда и возникает вопрос – а как же обновить базу, если
в конфигурацию уже были внесены свои корректировки?

П
режде всего нужно определить-
ся с целью обновления, то есть
ответить на вопрос: «А зачем
мы хотим это сделать?». Как правило,
к новым релизам прилагается описа-
ние внесенных изменений и добав-
ленного функционала. Например, ес-
ли фирма «1С» выпустила новую вер-
сию программы, в которой только по-
явилась возможность ведения уче-
та по добровольным взносам в ПФР
и ничего более, а в вашей организа-
ции ничего подобного не нужно, то со-
ответственно и необходимость прове-
дения работ по обновлению ставится
под вопрос. В этом случае, возможно,
стоит дождаться выхода последующих
релизов для экономии времени и де-
нег, а также для снижения риска появ-
ления ошибок.
Если всё же пришли к выводу о не-
обходимости проведения обновления
конфигурации, то в первую очередь де-
лается резервная копия базы данных.
Как говорится в современной поговор-
ке: «Бэкап лишним не бывает. Прове-
рено – это каждый раз так!».
Следующим важным шагом бу-
дет определение, насколько база от-
личается от типовой (а возможно, она
и полностью типовая!). Для этого нуж-
но сравнить текущую рабочую конфи-
гурацию с типовой конфигурацией той
же версии (релиза).
n Узнать номер релиза рабочей ба-
зы (пусть это будет 1.2.20.2).

60
n Установить типовую конфигурацию
такой же версии и сохранить кон-
фигурацию в файл (меню «Конфи-
гурация → Сохранить конфигура-
цию в файл»), назовем его «типо-
вая 1_2_20_2.cf».
n В конфигураторе рабочей базы
провести сравнение (меню «Срав-
нить, объединить с конфигураци-
ей из файла») с сохраненным нами
файлом «типовая 1_2_20_2.cf».
n Если получили сообщение «Конфи-
гурации идентичны», значит, нам
повезло, используется полностью
типовая база и обновить ее мож-
но через меню «Конфигурация →
Поддержка → Обновить конфигу-
рацию». Если же появилось окно
сравнения с указанием отличаю-
щихся объектов, то нужно присту-
пать к следующему этапу работы.
Итак, мы выяснили, что в базу вно-
сились изменения, и обычное обновле-
ние может испортить наши доработки.
Чтобы сохранить их, выясним, какие
именно изменения были, с точностью
до объекта. После этого проведем ак-
куратное, «тонкое» обновление.
Обычно я использую режим «4 кон-
фигуратора» (см. рис. 1). Что же это
такое?
n 1-е окно конфигуратора: наша ра-
бочая база (номер релиза 1.2.20),
которую необходимо обновить.
Здесь мы будем частично объеди-
нять с типовым релизом, частич-
но вносить что-то руками в модули
и править формы.
n 2-е окно конфигуратора: в нем
открыто окно сравнения нашей ра-
бочей базы с типовым релизом той
же версии (1.2.20). Таким образом,
мы выявим, какие объекты нельзя
обновлять автоматически, т.к. они
отличаются от типовых. Назовем
это «Список».
n 3-е окно конфигуратора: сравне-
ние типового релиза 1.2.20 и ново-
го типового 1.2.21. Здесь наглядно
будут видны все изменения, кото-
рые предлагает фирма «1С».
n 4-е окно конфигуратора: типовая
конфигурация нового релиза 1.2.21,
чтобы отсюда можно было копиро-
вать объекты, процедуры или от-
дельные куски кода программы.
Имея точный список измененных
№4, апрель 2009
Рисунок 1. Для «тонкого» обновления одновременно используется 4 окна
Рисунок 2. Окно сравнения модулей. Отображаются только отличающиеся части модуля
объектов («Список»), можно смело за-
пускать объединение в 1-м окне. Пос-
ле проверки появится окно сравнения
и объединения, в котором нужно снять
галки с тех объектов, которые входят
в «Список».
Затем начинается самое интерес-
ное – аккуратно вручную обновляем
измененные объекты. То есть в 1-м кон-
фигураторе вносим изменения, кото-
рые видим в окне сравнения 3-го кон-
фигуратора. Чем 8-я версия платфор-
мы выгодно отличается от 7.7, так это
тем, что есть возможность видеть раз-
личия в модулях с разбивкой по про-
цедурам. То есть выводится не один
огромный текст (например, глобаль-
ный модуль в 7.7), в котором найти од-
ну-единственную измененную строч-
ку достаточно проблематично, а толь-
ко те процедуры, в которых были кор-
ректировки (см. рис. 2).
После окончания процесса обнов-
ления лучше будет провести хотя бы
небольшое тестирование функциона-
ла программы, хотя бы тех объектов,
которые изменялись ранее самостоя-
тельно и обновлялись вручную.
Как можно облегчить
себе жизнь, если часто
вносятся изменения в базу?
Для этого, во-первых, в номере релиза
измененной базы ставится отличитель-
ный знак, например «*». Это будет оз-
начать, что конфигурация отличается
от типовой, и тогда не придется ломать
голову в попытках вспомнить «меняли
мы тут что-то или нет».
Во-вторых, если соблюдать некото-
рые нехитрые правила, то количество
измененных типовых объектов можно
свести к минимуму.
n По возможности не изменять стан-
дартные процедуры. Создайте об-
щий модуль, в котором будут раз-
мещаться созданные или изменен-
ные вами процедуры и функции. Та-
ким образом, все изменения све-
дутся только к одной строке вызо-
ва нужной процедуры.
n Если нужно скорректировать форму
документа, справочника или обра-
ботки, роль или интерфейс, то луч-
ше создать копию и её уже изме-
нять под свои нужды.
n Печатные формы и отчеты могут
храниться во внешних файлах.
n Оставляйте комментарии в текс-
тах модулей. Этим вы избавитесь
от вопросов «кто, когда и зачем это
менял?».
Конечно, важно понимать смысл
того или иного действия, и лучше со-
ставить небольшой план действий пе-
ред началом работы. Например, доба-
вить сначала базовые объекты (конс-
танты, перечисления) и только потом
справочники, документы и регистры.
Но помните, что всегда есть архивная
копия (она просто обязана быть!), ко-
торая не оставит организацию без ин-
формационной базы.
61
Ж и зн ь
в с тил е
х о к ку

Для меня общение – это когда один человек

обменивается своей мудростью с другим. И не
важно, считают ли оба собеседника себя мудрецами, много
ли они говорят друг другу или просто молча улыбаются, глядя на
ребенка, который носится по детской площадке… Житейской мудрости
можно научиться по‑разному… Мне кажется, что, завершив интервью с главой
представительства Kerio Technologies в России и странах СНГ Максимом Акимовым, я не
только получила очередной материал для публикации, но и поняла для себя что‑то очень важное.
Ч
то именно, трудно сформулиро-
вать. Размышляя над записанны-
ми на пленку короткими, емкими,
четкими ответами Максима, я догада-
лась, наконец, что они мне напомина-
ют – хокку или хайку, танки, философ-
ские лаконичные вирши японской по-
эзии. Знаете, некоторые любители га-
дают по этим стихам, пытаясь угадать,
что готовит им судьба…
Тридцатилетний Максим Акимов
рассказывал о своей судьбе, вернее,
о маршрутах, которыми он шел до сих
пор по жизни. И мне показалось весь-
ма любопытным показать и вам эти
маршруты, связав их с бессмертны-
ми строками.
О родительской мудрости
Родной город Максима – древний
Борисоглебск Воронежской облас-
ти. Слышите, какое удивительное на-
звание? Борис и Глеб – русские свя-
тые, в их честь на слиянии рек Воро-
на и Хопер была построена в нача-
ле XVIII века церковь, отсюда имя по-
селения. Здесь до сих пор не переве-
лись густые леса… Наверное, именно
в таких местах рождается понимание
красоты… И – огромное мальчишес-
кое желание познавать мир. Ему пот-
ворствовал отец:
– Он много рассказывал в детстве,
что такое звезды, как они «работают»,
почему дерево плавает, а железо то-
нет. Вещи банальные, но открываю-
щие, как устроен мир.
Максим рано понял, что ответы
на вопросы дает наука. Физикой заин-
тересовался в 9-м классе – участвовал
в олимпиадах, даже на всероссийском
уровне, занимал призовые места. Ку-
да поступать? Конечно, в Московский
физико-технический институт, где луч-
ше всех учат физике.
– Может быть, один из факторов,
почему я поступил именно в этот инс-
титут – когда-то мой папа тоже зани-
мался физикой, участвовал в олимпиа-
дах, но в последний момент не решил-
ся поехать поступать в Москву. Одна-
№4, апрель 2009
ко меня настраивал: МФТИ – это вы-
сокий уровень.
– Что самое интересное в науке? –
спрашиваю я.
– Это возможность понимать вещи.
Любое явление природы… Вот падает
капля. Можно просто на нее смотреть,
а можно попытаться понять, почему
именно так она падает, какова форма
капли, как она разбрызгивается, ка-
кую форму принимает на поверхнос-
ти, куда упала. То есть взгляд на мир
немного меняется.
Родители очень поддерживали
Максима в студенческие годы, горди-
лись им – сын всегда хорошо учился.
Очень были рады, когда на последних
курсах МФТИ Максим поехал на ста-
жировку в Штаты. Пока был за океа-
ном, начал прощупывать почву – хо-
тел остаться в аспирантуре, уже поч-
ти договорился с одним профессором
из Гарварда. Размышлял о том, чтобы
осесть в Америке, вывезти туда доч-
ку, близких… И вдруг – планы изме-
нились. Максим отказался не толь-
ко от перспективы жить в США, но и
от профессии, которой учился в ву-
зе. Такой поворот родителей огорчил,
конечно, – получается, сын упустил
шанс хорошо устроиться в жизни, за-
ниматься серьезным делом – наукой…
Они сейчас иногда спрашивают Мак-
сима: «Не жалеешь, что тогда не уе-
хал в Америку?».
– Я каждый раз отвечаю, что не жа-
лею. По-моему, они уже смирились, –
улыбается «беглец».
А Москва… Она стала почти род-
ной – столько лет уже здесь. Труд-
но представить, как можно работать
не в столице, такое уж теперь у Мак-
сима Акимова дело – для него требу-
ются масштабы и возможности мега-
полиса.
О мудрости выбора
Ему не наскучило познавать мир.
Просто Максим в какой-то момент по-
нял, что он не хочет заниматься на-
укой. Его сферой была физика твердо-
го тела. Конечно, он мог добиться ус-
пеха благодаря трудолюбию и упорс-
тву. Если бы оставалось желание ид-
ти по прежнему пути и в той же «ком-
пании». Однако уже на старших кур-
сах Максим Акимов осознал – ему
не по пути с теми, кто добивается ус-
пеха в науке. А главное:
– В тот момент люди делились
для меня на два типа: одни работают
с информацией – люди науки, и дру-
гие работают с другими людьми – за-
нимаются продажами, маркетингом
и так далее. На тот момент я «наел-
ся» общением с людьми информации,
мне казалось, что они живут в каком-
то нереальном мире, построенном ими
самими и имеющим довольно косвен-
ное отношение к реальности. Мне за-
хотелось в реальную жизнь.
И он пошел в реальную жизнь,
где царят не фундаментальные законы
и абстрактные теории, а цифры прибы-
лей и убытков, графики роста произ-
водства, где каждый день можно ви-
деть результаты своего труда.
Питомец МФТИ еще ни разу не по-
жалел о своем выборе… Даже когда
выяснилось, что знания, полученные
в вузе, в новой профессии «не рабо-
тают»:
– Меня слегка разочаровывало, ког-
да я после института начинал работать,
пытался использовать продвинутые
методы анализа и понял, что это все
не нужно. В бизнесе важнее понима-
ние процесса, чем некие зависимости,
выверенные с помощью математичес-
ких формул.
Однако Максим совершенно уве-
рен – учился и стажировался в Шта-
тах не зря!
– Я приехал в Москву из другого го-
рода. Учеба была тяжелая, и она дала
мне навыки преодоления сложностей,
преодоления себя. Заставить себя что-
то делать, и делать много, те же самые
экзамены сдавать – это закаляет. Пос-
ле такой «тренировки» очень многие
вещи в жизни видятся проще, не вы-
зывают страха.
Кстати, последние сомнения начи-
нающего менеджера развеял его пер-
вый начальник, к которому Акимов
пришел наниматься на работу:
– Это тоже было иностранное пред-
ставительство. Я спросил: «Что луч-
ше: если я пойду в аспирантуру учить-
ся дальше или сразу пойду работать
к вам?». А он спросил в ответ: «Как ты
думаешь, кого я возьму с большей
охотой – аспиранта, который ничего
63

не умеет в этой области, но облада-
ет огромными амбициями, или голо-
дного студента, выпускника институ-
та, у которого мозг еще не засорен вся-
кой дребеденью и у которого есть же-
лание учиться дальше?». Так я попал
в свою первую компанию.
Карьера выстраива лась стре-
мительно – помощник менеджера,
channel-менеджер, ответственный
за работу как в России, так и в Южной,
Восточной Европе, за связи с верти-
кальными рынками.
Интересуюсь:
– Талант в сфере организации биз-
неса открылся у вас внезапно или вы
предполагали его в себе?
Максим улыбается и отвечает так,
что сложно понять сразу, шутит он или
говорит серьезно:
– Я думаю, что единственный
мой талант, вернее, качество, кото-
64
рое способствует успеху... Я, навер-
ное, все-таки умный. Мне так кажет-
ся. Не скажу, что я легко общаюсь
с людьми. В социальном плане я че-
ловек довольно закрытый. Не могу
сказать, что мне очень нравится пос-
тоянно общаться. Есть мера, которой
мне достаточно. Но во время общения
на работе я хорошо понимаю, что че-
ловеку надо.
– Я слушаю и осознаю – говорит
серьезно, но, можно сказать, – с науч-
ной точки зрения. Ведь с чем я пришла
к Максиму? С задачей проанализиро-
вать его собственную личность. И вот
мне выдают результаты «ученого ис-
следования»… И это «исследование»
показывает, что сегодня Максим Аки-
мов встал на новую ступеньку разви-
тия – стал руководителем.
– Я думаю, что я буду развиваться
именно в этом направлении.
– А дальше?
– Посмотрим. Наверное, в конеч-
ном итоге это приведет к какому-то
своему делу.
Это не личные планы, это – про-
гноз.
О, мудрый руководитель!
Сегодня Максим Акимов отвечает
за бизнес компании Kerio Technologies
на ее крупнейшем рынке – в России.
Он руководитель и уже не учится, а сам
делится опытом с коллегами.
– Я впервые столкнулся с такой си-
туацией… То есть я действительно по-
нимаю, что у меня есть, что дать этой
компании, причем не только в России,
но и в глобальном масштабе. Это свя-
зано и с организацией, и с процессами
внутри компании, и с направлениями
развития. Работа в большой компании
накладывает отпечаток, накапливает-
ся «багаж» умений – от того, как пра-
вильно планировать маркетинговые
компании до организации внутренних
бизнес-процессов, знаний – касатель-
но скорости ответов, технологических
приоритетов развития.
Работа в Kerio не могла не привлечь
моего героя. И дело тут не в том, ко-
нечно, что Максиму Акимову хотелось
почувствовать себя «боссом». Гла-
ва представительства, убежден он, –
«должность, подразумевающая очень
большой процент креатива и очень
серьезную ответственность за все,
что происходит».
На этот счет у Максима есть целая
теория (сказывается все-таки научное
прошлое):
– Есть две стороны. Одна сторо-
на – личностные качества, напря-
мую не связанные с опытом работы.
И здесь дело в той ответственности,
которую человек хочет и может на се-
бя брать. Потому что если ответствен-
ности не хватает, я, по крайней мере,
начинаю добирать со стороны, смот-
рю, что можно еще сделать, чтобы по-
чувствовать «кайф» работы. Ведь са-
мое большое удовольствие от работы них. В то же время он требует по мак- Мудрый в горы
состоит в том, что есть какое-то дело, симуму с подчиненных, чтобы они его не пойдет?
я его делаю, и оно получается. Это од- не «подставили» перед высшим на-
на часть. Вторая часть связана с про- чальством. А вообще есть такая пос-
фессиональными навыками. Как я го- ловица, что лучшие руководители –
ворил, опыт работы в большой компа- это те, которых мы не замечаем. Мо-
нии дает очень много. В той компании гу добавить, что меня коробило, ког-
нас довольно много учили. Моя работа да мои начальники не признавались
связана в основном с общением с пар- в своих ошибках. Когда человек что- Проследить маршрут человеческой
тнерами, с теми, кто продает наши ре- то делает неправильно и пытается вину судьбы – не так сложно. В общем-то
шения. В предыдущей компании нас свалить на своих подчиненных, это не- можно и единичные поступки челове-
учили, как правильно общаться с та- красиво… ка объяснить. А вот найти причины, до-
кими людьми и как их заинтересовы- Руководящий стиль самого Акимо- копаться, почему человек именно та-
вать. Основная идея – channal-ме- ва во многом определен спецификой кой, какой он есть, сложно… Да и нуж-
неджер – человек, который общается частной компании. Теплая, семейная но ли это? Максим Акимов в свое вре-
с партнерами, должен быть не только обстановка, в которой просто не при- мя увлекался психологией, посещал
продавцом своих решений, но и свое- живаются формализм и бюрократия, различные тренинги, даже круг дру-
го рода советником по бизнесу. Он принятые в крупных фирмах с их не- зей составился именно из психологов –
должен хорошо разбираться в биз- избежным дресс-кодом и проверка- людей, которые близки по духу, по ми-
несе, которым занимается компа- ми. Пять минут опоздания – серьезная ровосприятию. Но объясняет ли это ха-
ния. Топ-менеджер компании-партне- провинность… Нет, в российском пред- рактер Максима, его личность? Навер-
ра предпочитает общаться с channal- ставительстве Керио все весьма либе- ное, только отчасти…
менеджером на одном языке. Если я рально, нет драконовских норм и зако- Хотя мне кажется, что интерес
приду и стану просто рассказывать, нов. Однако в такой домашней обста- к проблеме информационной безопас-
какие у нас хорошие продукты, пар- новке важно не расслабиться до рас- ности проистекает именно из любви
тнер не будет слушать. Если же я на- хлябанности и ничегонеделания. Если к психологии. Сам Максим признает:
чну беседовать с ним о его бизнесе, ты с утра не в офисе, это не страшно, – По многочисленным оценкам, сей-
о том, каковы его приоритеты в раз- главное – чтобы работа была сдела- час основные угрозы для предприятий
витии компании и как мы можем ему на вовремя, качественно и чтобы на- в области информации проистекают
помочь, то это совсем другой подход. чальник мог с тобой в любой момент от внутренних сотрудников, а не от вся-
Отношение к нам будет совсем другое. связаться. ких там хакеров, вирусов и так далее.
Нас этому учили на курсах и на прак- И, кстати, такие же требования Работники компаний сами заносят ви-
тике. И я стараюсь выступать, при- предъявляет к самому Максиму Аки- русы. Поэтому есть два кардинально
ходя к партнерам, не только как пос- мову высшее руководство: противоположных пути, как вести се-
тавщик наших решений, но и как экс- – Формальных требований нет. Сво- бя в такой ситуации. Либо максималь-
перт в нашей отрасли. Я им даю новые бода довольно большая. Позиция ме- но контролировать своих сотрудников,
знания, информацию о том, что де- неджмента такова: если человек от- установить слежку, прочитывать элект-
лают наши партнеры в других стра- ветственен за какой-то участок рабо- ронную почту. Либо, наоборот, де-
нах. После маржи, которую они име- ты, что он там делает – это его дело, монстрировать полное доверие к лю-
ют на наших продуктах, это наиболее нужно только ставить в известность дям, создавать условия, чтобы им бы-
полезная часть нашего сотрудничест- высшее начальство. … Согласитесь – ло невыгодно вести себя неправильно
ва – советы, взгляд со стороны на их разумно. или заниматься диверсиями... Очень
бизнес. Я могу оценить, что они дела- Кстати, а по поводу дресс-кода много дебатов сейчас идет.
ют правильно, а что нет. И этот под- Максим не может забыть одну забав- – А на ваш взгляд, как правильно?
ход я стараюсь сейчас внедрить в на- ную историю: – Я считаю, что должна быть какая-
шей компании. – Когда я пришел в первый раз то золотая середина. Доверяй, но про-
Став руководителем, Максим по- на собеседование в эту компанию, веряй.
дошел к новой роли взвешенно и ра- разговаривал с нашим старшим ви- Да, с точки зрения сотрудников,
зумно. Он старается взять самое луч- це-президентом, я был в костюме, он – слежка – это ужасно, но руководите-
шее из увиденного – столько началь- в футболке. Уже после собеседования ли считают, что это полезно, благода-
ников прошло перед глазами, и у каж- он рассказал мне, что агентство, кото- ря таким мерам они пресекают случаи
дого было чему поучиться. Даже не- рое организовывало собеседование, кражи, утечки информации.
кий портрет «идеального» руководи- спросило его, каков дресс-код для че- Разумный подход. Похоже, в слу-
теля «нарисовался»: ловека, который придет устраиваться чае Максима Акимова он распростра-
– Это буфер между подчиненны- на работу, и он ответил: «Главное, что- няется на всю его жизнь. Если руково-
ми и высшим менеджментом. То есть бы человек был одет». Культура компа- дитель российского представительс-
он как может защищает своих под- нии такова, что люди не «напрягают» тва компании Kerio отдыхает – то в го-
чиненных и старается выбить макси- себя ненужными вещами. И в общении рах: сноуборд зимой, пешие походы
мально благоприятные условия для с партнерами это помогает. летом. Не только потому, что это ин-

№4, апрель 2009 65

тересно, красиво, но и потому, что эф- примерно методика. Это надо – инфор- не знаешь, что случится в следующий
фективно. мации все больше, приходится много момент. Они показывают историю, ко-
– Я много раз сравнивал ощущения читать по менеджменту... В художест- торая может иметь десять смыслов,
от отдыха в кресле у телевизора и в го- венной литературе что нравится? «Ти- а может ни одного – смотришь как кар-
рах. В горах неделя – это месяц жиз- хий Дон» оставил сильное впечатле- тинку. Гораздо больше эстетического
ни, у телевизора неделя – это два дня. ние. Я его читал раза три в своей жиз- удовольствия получаешь.
Голова тяжелая... ни, очень нравится. Фантастику тоже И уж, конечно, Максиму Акимову
Такой же разумный подход к собс- читаю – Хайнлайн, Кларк. его повседневная деятельность вовсе
твенному здоровью: Театральные и кинопристрастия не кажется фантастикой. Но я уже так
– На тренажерах скучно. Стараюсь у Максима не тривиальные. Такой «че- привыкла спрашивать об этом у своих
раз в два дня делать зарядку. Десять ловек разумный», как он, уж, конечно, героев, что в очередной раз не удер-
минут с утра. Это довольно прагматич- не будет тратить время на «пафосные» жалась…
ная вещь. Мне трудно заниматься чем- походы по модным спектаклям и куль- Максим терпеливо объяснил свою
то, что правильно в социальном аспек- товым фильмам. точку зрения:
те, но не дает ничего лично мне. Я прос- – Я всегда любил театры неболь- – Здесь есть два аспекта. Один – по-
то заметил, что если я десять минут шие и не очень классические. МХАТ нимать, как оно устроено и как работа-
с утра позанимаюсь, то становлюсь ак- им. Горького мне всегда казался мрач- ет. И другое – это дело продавать. Я пы-
тивнее, у меня настроение улучшается. ным. Островский повергал в какую-то таюсь понять, что нужно нашим заказ-
После зарядки я себя лучше чувствую. депрессию… А вот театр «Сфера» не- чикам, и понять, как мы подходим под
Абсолютно прагматичный подход. большой и в то же время очень душев- их нужды. Фантастики тут особой нет.
И совершенно в логике прагматич- ный. Более реальные персонажи в пос- Хотя когда я читаю хронологию разви-
ного поведения Акимова – его занятия тановках. Сейчас реже получается вы- тия технологий и понимаю, как много
на курсах скорочтения. бираться, больше в кино хожу. было сделано, возникает такое ощу-
– Преподаватели курсов, на кото- – А что в кино? щение. Но не часто. Я больше прагма-
рых я сейчас занимаюсь, утверждают, – Люблю корейские фильмы. Во- тик в этом плане.
что повысится не только скорость, но и первых, они очень красивые, во-вто-
качество чтения. Дают тексты, после рых, не такие предсказуемые, как аме- Текст: Оксана Родионова,
них надо ответить на вопросы – такая риканские. В корейском кино никогда фото: Евгения Тарабрина

66
 JavaFX – Reach Internet Application от Sun
Прощай, унылый Swing?

Кирилл Сухов
5 декабря 2008 года Компания Sun Microsystems представила финальную версию JavaFX –
свою платформу для создания Rich Internet Aplication, ставшую достойным ответом
конкурентам.

Е
сли вспомнить историю созда-
ния интернет-приложений, при-
дется признать за компани-
ей Sun первенство в создании Rich
Internet Application. Первые Java-ап-
плеты продемонстрированы Гослингом
при презентации браузера WebRunner
в далёком 1994 году. С тех пор про-
шло много всяких событий, интернет-
приложения росли и изменялись, поя-
вилась технология Flash, использова-
ние клиентских возможностей браузе-
ра (Javascript, DOM) вылилось в тер-
мин WEB-2, а апплеты как технология,
в общем, не сильно изменились. За-

№4, апрель 2009 67


Рисунок 1. Архитектура платформы JavaFX
няв прочное положение на мобильных устройствах, на де-
сктопах, они так и не получили заметного распростране-
ния. Положение осложнилось с появлением таких мощ-
ных конкурентных технологий, как Adobe Flex/Air, Microsoft
Silverlight.
С другой стороны, имело место недовольство потреби-
телей возможностями средств Java (Swing, Java2D), для раз-
работки графического пользовательского интерфейса. Осо-
бенность ситуации была в том, что эти средства вполне поз-
воляли в теории создавать GUI любой сложности и «кра-
сивости», но процесс этот никак нельзя было назвать лёг-
ким и эффективным. Возникла необходимость в простом
средстве проектирования интерфейсов, которым может
быть скриптовый декларативный язык.
Явление JavaFX
Впервые технология была представлена на конферен-
ции JavaOne в мае 2007 года. В декабре 2008 года вышла
JavaFX 1.0, включающая в себя средства разработки –
JavaFX 1.0 SDK, плагин для NetBeans IDE 6.5 и JavaFX 1.0
Production Suite – набор инструментов для экспорта гра-
фических объектов в приложения JavaFX. Была пред-
ставлена также бета-версия эмулятора JavaFX 1.0 Mobile,
для разработки JavaFX-приложений для мобильных плат-
форм. JavaFX TV – среда для запуска приложений на те-
левизионной платформе, планируется к запуску в нача-
ле 2010 года.
На настоящий момент (апрель 2009 года) вышла вер-
сия JavaFX 1.1, включающая мобильный профайл, позво-
ляющий запускать JavaFX-приложения на мобильных уст-
ройствах.
На недавно открытом официальном сайте (JavaFX.com)
можно видеть примеры готовых приложений на основе но-
вой технологии, предоставленных с исходным кодом.
JavaFX потихоньку входит в нашу жизнь.
Что это?
Что конкретно представляет
собой JavaFX-приложение?
Оно вполне может работать
как продукт Java web start, Рисунок 2. Здравствуйте
68
но основная его роль, декларируемая Sun – «апплет ново-
го образца», основное отличие которого от обычных аппле-
тов – возможность самостоятельного существования. В са-
мом деле, JavaFX-программа вполне может быть оформле-
на в качестве обычного апплета, но этот апплет можно вы-
тащить из содержащей его страницы, закрыть последнюю
и продолжить работу (Drag-to-Install).
В общем, такой продукт является интернет-приложени-
ем, только потому, что через Глобальную сеть происходит
доставка его потребителю, а также по причине наличия воз-
можности активного взаимодействия через Интернет с сер-
вером. Ну а в обычной несетевой, ипостаси эти приложе-
ния мало чем уступают обычным настольным.
Приложение JavaFX, естественно, использует для рабо-
ты Java-машину (см. рис 1). Как следствие оно может ис-
пользовать классы и объекты Java, импортировав соответ-
ствующие пакеты.
Технология позволяет легко встраивать в приложение
мультимедиа данные, анимацию и различные визуальные
эффекты. Связывание данных облегчает построение эф-
фективных интерактивных интерфейсов.
Используемый скриптовый язык JavaFX Script поня-
тен и прост в освоении (см. врезку «JavaFX Script – крат-
кий обзор»). Он обладает обширными средствами для де-
кларативного описания, имеет необходимые встроенные
объекты.
Впрочем, не особенно хочется превращать обзор в рек-
ламную листовку, лучше давайте попробуем возможности
JavaFX на практике.
Начинаем работу
Для разработки на JavaFX существуют специальные ин-
струменты, но сначала попробуем написать тестовое при-
ложение, воспользовавшись обыкновенным текстовым ре-
дактором.
Прежде всего на вашей системе должен быть установ-
лен пакет JDK (Java Development Kit) версии 5 или 6 (пос-
ледняя по многим причинам предпочтительнее). Если это
не сделано, скачиваем пакет по адресу http://java.sun.com/
javase/downloads/index.jsp и устанавливаем его. Теперь ска-
чиваем и устанавливаем JavaFX SDK (http://java.sun.com/
javafx/downloads). Инсталляция не должна вызвать осо-
бых вопросов.
Для проверки работоспособности среды в консоли вы-
полним команду javafxc, без параметров:
C:\Sun>javafxc
javafxc: no source files
Usage: javafxc <options> <source files>
use -help for a list of possible options
C:\Sun>
Если результат отличается, в первую очередь следует
проверить, добавлен ли путь к JavaFX SDK в переменную
окружения PATH.
Теперь напишем нашу первую программу. Создадим
файл testfx.fx следующего содержания:
import javafx.stage.*;
 import javafx.scene.*;
import javafx.scene.text.*; Stage {
import javafx.scene.paint.*; title: "JavaFX-калькулятор"
import javafx.scene.effect.*; width: 300
height: 500

Stage {
title: "Hello FX" scene: Scene {
width: 250 content:[ Text {
height: 80 x: 20 y: 60
scene: Scene { font: Font { size: 36}
content: Text { fill: Color.GREEN
x: 10 y: 30 effect: DropShadow{ offsetX: 3 offsetY: 6}
font: Font { size: 24 } content: "2 * 2 = 4"
fill: Color.GREEN }
effect: DropShadow{ offsetX: 3 offsetY: 3} ]
content: "Hello FX!"
} }
} }
}

Похоже на предыдущий пример. Мы импортировали

Скомпилируем этот класс командой javafxc:
C:\Sun>javafxc testfx.fx
И запустим соответственно командой javafx:
необходимые классы, создали окно приложения, описа-
ли основной фрейм, создали там пока единственный эле-
мент (в терминах JavaFX – нод) – Text. После текста до-
бавим описание кнопки, используя встроенный объект
Rectangle:

C:\Sun>javafx testfx Rectangle {

fill: Color.SILVER
x: 10
Результат можно наблюдать на рис. 2. y: 80
width:60
Теперь давайте разберёмся, что мы тут натворили. height: 40
С командами компиляции и запуска всё ясно – это пря- arcWidth: 20
arcHeight: 20
мые аналоги утилиты javac и команды java. Первые строч-
ки кода также хорошо знакомы любому Java-программис- }
ту – это импорт необходимых классов из соответствую-
щих пакетов. И надписи на ней:
Далее идёт то, что называется «декларативным син-
таксисом». Что это такое? Если очень коротко, то особен- Text {
x: 35
ность заключается в том, что программа не задаёт поша- y: 110
говую инструкцию реализации алгоритма работы, а опи- font: Font { size: 24}
fill: Color.GREEN
сывает объекты, полученные в виде конечного результа- content: "1"
та. При этом описываются свойства и поведение объек- }
тов, в том числе и интерактивное. Впрочем, об этом далее,
в более сложных примерах. Попробуем скомпилировать и запустить результат при-
Пока всё просто: объект Stage представляет собой ок- ведёнными выше командами, и полюбуемся чудным одно-
но приложения с соответствующими свойствами (title, width, кнопочным калькулятором (см. рис. 3).
height), значения которых определяются в последующих
строчках. Далее внутри его описывается объект Stage –
своего рода фрейм, содержащий другие объекты. Вер-
нее, в данном случае один визуальный объект – Text, кото-
рый также снабжен описанием своих свойств (положение,
шрифт, цвет). Помимо их описания к тексту применён эф-
фект тени, причём как шрифт, так и эффект также имеют
свои описания.
Как видим, тут всё очень просто и интуитивно понятно.
Впрочем, давайте попробуем написать маленькое, но дейс-
твительно полезное приложение. Что нам нехватает в ми-
ре ERP-систем и SOA-приложений? Разумеется, красивого
калькулятора! Вооружимся описанием языка и вперёд.
Сначала опишем калькулятор с индикатором:

import javafx.stage.*;
import javafx.scene.*;
import javafx.scene.text.*;
import javafx.scene.paint.*;
import javafx.scene.effect.*; Рисунок 3. Для калькулятора Рисунок 4. Теперь кнопок
import javafx.scene.shape.*; маловато кнопок достаточно

№4, апрель 2009 69

 Ну дальше всё просто – описываем одну за другой
все остальные кнопки... Что? Объекты? Массивы? Всё так,
и хоть мне и платят за количество печатных знаков, я всё-
таки программист и не могу не унифицировать процесс.
Для начала создадим следующий класс:
Не останавливаемся. Нам нужно рабочее приложение,
следовательно, после нажатия на клавиши текст в индика-
торе должен меняться. Для этого сначала введём глобаль-
ную переменную, которая содержит текст индикатора, и не-
много изменим его код:

class CalcBatton{ var cont="";

var cx: Number; class CalcBatton{
var cy: Number ; …...................................
var ctext: String; effect: DropShadow{ offsetX: 3 offsetY: 6}
var group= Group{ content: bind cont
content: [ }
Rectangle {
fill: Color.SILVER
x: cx В данном случае мы воспользовались ключевой воз-
y: cy можностью JavaFX Script – связыванием данных (data
width:60
height: 40 binding). Теперь любое изменение переменной cont сразу
arcWidth: 20 же будет отображено на индикаторе калькулятора. Теперь
arcHeight: 20
cursor: HAND внесём изменения в код кнопки, дабы описать её реакцию
effect: DropShadow{ offsetX: 3 offsetY: 6} на клик мышкой:
},
Text {
x: cx + 25 effect: DropShadow{ offsetX: 3 offsetY: 6}
y: cy + 30 onMouseClicked: function(evt: MouseEvent):Void {
font: Font { size: 24} but="{but}{ctext}";
fill: Color.GREEN if({ctext}=="C"){
content: ctext but="";
}]} }
} }
}

В данном случае мы объединили в одну группу кноп-
ку и надпись на ней, создав класс, экземплярами которо-
го будут кнопки калькулятора. Переменные класса уста-
навливают надпись на кнопке и её абсолютное располо-
жение (вообще говоря, в JavaFX присутствуют менеджеры
размещения, но для простого приложения с фиксирован-
ным числом компонентов можно ограничиться и абсолют-
ным позиционированием.)
Теперь создадим массив кнопок:
Как видно из кода, при нажатии на клавишу <C> про-
исходит очистка индикатора. Конечно, следует также про-
писать реакцию на нажатие <=>, вызывающее вычисление
результата, но это я предоставляю для реализации чита-
телю. Сама по себе задача вполне ординарная. Мы же тут
заняты другим – стараемся «сделать красиво». Продол-
жая действовать в этом направлении, «оживим» кнопки,
заставим их нажиматься. Для этого введём ещё два атри-
бута нашего класса:

def bt1=CalcBatton{ cx: 10, cy: 80,ctext: "1"} var gradx= 3;

def bt2=CalcBatton{ cx: 80, cy: 80,ctext: "2"} var grady= 6;
def bt3=CalcBatton{ cx: 150, cy: 80,ctext: "3"} var group= Group{

...
Эти переменные будут отвечать за размеры эффекта те-
def bt9=CalcBatton{ cx: 10, cy: 180,ctext: "9"} ни, при изменении которых и создаётся эффект нажатия:
def bt0=CalcBatton{ cx: 80, cy: 180,ctext: "0"}

def bt_add=CalcBatton{ cx: 150, cy: 180,ctext: "+"} cursor: HAND

def bt_sub= CalcBatton{ cx: 220, cy: 180,ctext: "-"} effect: DropShadow{ offsetX: bind gradx offsetY: ↵
def bt_mul=CalcBatton{ cx: 10, cy: 230,ctext: "*"} bind grady}
def bt_div=CalcBatton{ cx: 80, cy: 230,ctext: "/"}
def bt_res=CalcBatton{ cx: 150, cy: 230,ctext: "="}
def bt_del=CalcBatton{ cx: 220, cy: 230,ctext: "C"} Как видите, мы опять используем связывание. И связы-
var buttons=[bt1.group,bt2.group,bt3.group, ваем мы их с типичными действиями пользователя. Пишем
bt4.group,bt5.group,bt6.group,
bt7.group,bt8.group,bt9.group, в коде объекта Rectangle:
bt0.group,bt_add.group,bt_sub.group,
bt_mul.group,bt_div.group,bt_res.group, onMousePressed: function(evt: MouseEvent):Void {
bt_del.group]; gradx=0;
grady=0;
И разместим этот массив на «сцене» приложения: }

onMouseReleased: function(evt: MouseEvent):Void {

Stage { gradx=3;
... grady=6;
scene: Scene { }
content:[ Text { },
...
},buttons
]} Осталось только навести ещё немного гламура (не забы-
}
вая, кстати, импортировать необходимые классы), и каль-
После компиляции должна получиться картинка, сход- кулятор готов. Полный код (без вычислительных функций)
ная с рис. 4. приведён ниже:

70
 import javafx.stage.*; def bt_res=CalcBatton{ cx: 150, cy: 230,ctext: "="}
import javafx.scene.*; def bt_del=CalcBatton{ cx: 220, cy: 230,ctext: "C"}
import javafx.scene.text.*; var buttons=[bt1.group,bt2.group,bt3.group,
import javafx.scene.paint.*; bt4.group,bt5.group,bt6.group,
import javafx.scene.effect.*; bt7.group,bt8.group,bt9.group,
import javafx.scene.paint.Color; bt0.group,bt_add.group,bt_sub.group,
import javafx.scene.shape.*; bt_mul.group,bt_div.group,bt_res.group,
import javafx.scene.layout.HBox; bt_del.group];
import javafx.scene.layout.VBox; Stage {
import javafx.scene.Cursor.*; title: "FX Калькулятор"
import javafx.scene.Node.*; width: 300
import javafx.scene.input.MouseEvent; height: 500
scene: Scene {
class Calc{ content:[ Text {
// здесь «вычислительная» часть x: 20 y: 60
} font: Font { size: 36}
fill: Color.GREEN
def cl= Calc{}; effect: DropShadow{ offsetX: 3 offsetY: 6}
def fil_bt=LinearGradient { content: bind cont
startX: 0.0, startY: 0.0, endX: 0.0, endY: 1.0, ↵ },buttons
proportional: true ]
stops: [ fill: LinearGradient {
Stop {offset: 0.0 color: Color.WHITE}, startX: 0.0, startY: 0.0, endX: 0.0, endY: 1.0, ↵
Stop {offset: 1.0 color: Color.SILVER} proportional: true
] stops: [
} Stop {offset: 0.0 color: Color.WHITE},
var cont=""; Stop {offset: 1.0 color: Color.LIGHTGREEN}
var sum=0; ]
class CalcBatton{ }
var cx: Number ; }
var cy: Number ; }
var ctext: String;
var gradx= 3;
var grady= 6; Результат – на рис. 5.
var group= Group{
content: [
Rectangle { Что ещё?
fill: fil_bt
x: cx Какие возможности JavaFX остались за рамками этого не-
y: cy большого примера? Прямо скажу, немало. Начнём с того,
width:60
height: 40 что в палитре среды присутствует множество графичес-
arcWidth: 20 ких примитивов. Это геометрические фигуры (вроде ис-
arcHeight: 20
cursor: HAND пользуемого нами Rectangle), градиенты (линейный гра-
effect: DropShadow{ offsetX: ↵ диент мы использовали для заливки калькулятора и кно-
bind gradx offsetY: bind grady}
onMouseClicked: function(evt: MouseEvent):Void { пок), различные графические эффекты. JavaFX позволяет
if({ctext}=="C"){ работать с готовыми изображениями, используя их в сце-
but="";
} нах и применяя к ним различные фотоэффекты, как-то за-
else{ тенение, смещение, размытость, трансформация и так да-
but="{cont}{ctext}";
} лее, причём применять в любой комбинации.
} Средствами JavaFX легко достигается анимация объек-
onMousePressed: function(evt: MouseEvent):Void {
gradx=0; тов (каюсь, хотел включить эту важную функциональность
grady=0; в наш калькулятор, но вовремя остановился) и встраива-
}
onMouseReleased: ется видео. Вот как просто это делается:
function(evt: MouseEvent):Void {
gradx=3; Stage {
grady=6; title: "My Media Player"
} scene: Scene{
}, content: MediaComponent {
Text { mediaSourceURL: mediaUrl
x: cx + 25 volume: 0.5
y: cy + 30 visible:true
font: Font { size: 24} mediaPlayerAutoPlay: true
fill: Color.GREEN }
content: ctext }
}]} }
}
def bt1=CalcBatton{ cx: 10, cy: 80,ctext: "1"} Поддерживаются все форматы, которые поддержи-
def bt2=CalcBatton{ cx: 80, cy: 80,ctext: "2"} вает платформа, на которой исполняется приложение,
def bt3=CalcBatton{ cx: 150, cy: 80,ctext: "3"}
def bt4=CalcBatton{ cx: 220, cy: 80,ctext: "4"} при этом используются «родные» кодеки этой платфор-
def bt5=CalcBatton{ cx: 10, cy: 130,ctext: "5"} мы. Если не находится нужного кодека, используется
def bt6=CalcBatton{ cx: 80, cy: 130,ctext: "6"}
def bt7=CalcBatton{ cx: 150, cy: 130,ctext: "7"} встроенный кроссплатформенный кодек On2 от компании
def bt8=CalcBatton{ cx: 220, cy: 130,ctext: "8"} On2 Technologies.
def bt9=CalcBatton{ cx: 10, cy: 180,ctext: "9"}
def bt0=CalcBatton{ cx: 80, cy: 180,ctext: "0"} Разумеется, всё вышеперечисленное можно применять
def bt_add=CalcBatton{ cx: 150, cy: 180,ctext: "+"} в различных комбинациях. Примеры применения с исход-
def bt_sub=CalcBatton{ cx: 220, cy: 180,ctext: "-"}
def bt_mul=CalcBatton{ cx: 10, cy: 230,ctext: "*"} ным кодом можно найти на сайте технологии JavaFX – http://
def bt_div=CalcBatton{ cx: 80, cy: 230,ctext: "/"} www.javafx.com/samples.

№4, апрель 2009 71

 На рис. 6 показан один
из них – вращающийся трёх-
мерный куб, каждая грань
которого работает как ви-
деопроигрыватель, в кото-
ром можно открыть отдель-
ный видеофрагмент.
Разумеется у средства
для создания RIA есть ин-
с трументы д ля пос трое -
ния именно интернет-при-
ложений.
Прежде всего это объект
javafx.io.http.HttpRequest,
предоставляющий API
для асинхронного взаимо-
действия с HTTP-сервером
Рисунок 5. Приложение
готово и даже работает (да, да, тот самый AJAX).
Очень полезным представ-
ляется javafx.data.pull.PullParser многопоточный парсер до-
кументов, с возможностью задания функции обратного вы-
зова (callback) в качестве параметра.
Пример из руководства:
var total;
var title;
def parser = PullParser {
documentType: PullParser.XML;
input: anInputStreamThatContainsXML;
onEvent: function(event: Event) {
if (event.type == PullParser.START_ELEMENT) {
if (event.qname.name == "ResultSet" ↵
and event.level == 0) {
total = event.getAttributeValue ↵
(QName{name:"totalResultsAvailable"});
}
} else if (event.type == PullParser.END_ELEMENT) {
if (event.qname.name == "Title" ↵
and event.level == 2) {
title = event.text;
}
}
}
}
parser.parse();
parser.input.close();
println("results: {total}, title: {title}");
Предусмотрена также работа с RESTFul Web Services
(технология Representational State Transfer), встроенные
парсеры XML и JSON, интеграция с JavaScript и техноло-
гией LiveConnect.

JavaFX Script – краткий обзор
В небольшом приложении я попытаюсь
дать краткий обзор языку JavaFX Script,
ровно до такой степени, чтобы читатель
разобрался с кодом примера.
Следует сразу оговориться, что JavaFX
Script – это не Java, и вообще он имеет
с Java довольно мало общего. Вторая ого-
ворка – пусть вас не смущает слово Script
в его названии. Он не является языком сце-
нариев в том смысле, в котором им явля-
ется, например JavaScript, ничего общего
он не имеет с такими интерпретируемы-
ми «скриптовыми» языками, как PHP или
Ruby. Прежде всего это декларативный
язык. На практике это обозначает, что для
построения приложения мы не описыва-
ем объекты и их методы, а определяем
объекты сцены, определяем их атрибуты
(в том числе поведение, реакцию на со-
бытия). Но всё по порядку, сначала осно-
вы синтаксиса.
Основные типы данных
JavaFX имеет статическую типизацию –
тип переменной (они задаются с помощью
ключевого слова var) определяется при её
инициализации:
var name;
var age;
name="John";
age=35
Константы задаются с помощью клю-
чевого слова def. Правила наименова-
ний переменных и констант схожи с язы-
ком Java.
Это же касается и наименований функ-
ций. Сами они задаются так:
function addTwo(a:Number):Number{
return a+2;
}
println(addTwo(4));
Как видим, разительное отличие син-
таксиса Java, заключается в указании ти-
па возвращаемого значения не до, а после
объявления функции. То же и с её аргумен-
тами. Возможно, причины такого синтакси-
ческого финта кроются в том, что продукт
создавался с оглядкой на Adobe Flex. Впро-
чем, бог с ними, с грязными домыслами.
В языке присутствуют встроенные ти-
пы данных – String, Number, Integer, Boolean
и Duration, которые также являются и объ-
ектами типов.
При определении типа String могут ис-
пользоваться как двойные, так и одинар-
ные кавычки. Для подстановки переменных
или выражения внутри строки используют-
ся фигурные скобки:
var name='john';
println(«Hello {name}!»);
Типы Integer Number, предназначены
для представления целочисленных значе-
ний и числа с плавающей точкой соответ-
ственно. Boolean, как несложно догадать-
ся, может принимать значения true или false.
Он используется в управляющих конструк-
циях (if, else), которые имеют традиционный
для Java синтаксис.
Тип Duration используется для представ-
ления временных отрезков, например:
var a = 10s; // 10 секунд
Имеется и знакомый по Java «пустой»
тип Void (регистр – не опечатка), впрочем,
при объявлении функции, не возвращаю-
щей значение, его можно опустить.
Для перечисляемых данных предусмот-
рен тип последовательности (sequencesy),
обладающий необходимыми методами:
var colors: String[] = ["Green", ↵
"Red","Gray"];
insert "Black" into colors;
insert "Blue" after colors[1];
// теперь последовательность такая:
// ["Green","Red","Blue","Gray",
// "Black"];
delete "Gray" from colors;
delete colors[2];
// теперь:
// ["Green","Red",Black"];
var nums = [1..100];
В последнем случае генерируется
последовательность из целых чисел, от 1
до 100.
Классы и объекты
Классы в JavaFX определяются следую-
щим образом:
class myObject{
var name: String;
var city: String;
var myRectangle: Rectangle;
function print_name() {
println("Name: {name}");
}
Вопросы тут может вызвать только тип
данных Rectangle. Это один из многочис-
ленных встроенных классов JavaXF, про-
смотреть его свойства и методы можно

72
Среда разработки код, и SVG Converter, позво-
Такой пример, как наш калькулятор, вполне можно написать ляющий сохранять графику
в простом текстовом редакторе, но современный процесс в формате JavaFX.
разработки (несмотря на мнение отдельных гиков) требует После знакомства с воз-
удобной и эффективной IDE, с возможностью отладки, про- можностями JavaFX, естес-
файлинга, рефакторинга и управления проектами, а так- твенно, встаёт вопрос: ка-
же желательно с интеграцией с системой контроля версий ковы её перспективы? Ка-
и многим другим. И тут хорошие новости для программистов, кое место она может занять
привыкших работать в среде NetBeans. Начиная с версии 6.5 в быстро меняющемся ИТ-
при установке соответствующего плагина теперь можно ра- мире? Сейчас на этот воп-
ботать с JavaFX-проектами с неменьшей эффективностью, рос, наверное, никто отве- Рисунок 6. В каждой грани
независимый видеофрагмент
что и с Java, используя дизайнер форм и прочие инструмен- тить не может. Но в целом (если хватит оперативки)
ты IDE. Приверженцы другой популярной среды разработки, платформа, имеющая все
Eclipse, не остались обижены, плагин для работы с JavaFX ключевые средства для построения RIA, с возможностью
доступен по адресу http://kenai.com/projects/eplugin. использования накопленных Java-наработок и уже сейчас
Впрочем, это всё для программистов, для дизайнеров же имеющая вполне современные средства разработки, вы-
подготовлен набор инструментов под общим названием глядит очень многообещающе.
JavaFX Production Suite. Это плагины для пакетов Adobe
Photoshop и Adobe Illustrator, позволяющие сохранять мно- 1. Официальный сайт JavaFX – http://javafx.com.
гослойные приложения в формате JavaFX (Save as JavaFX). 2. Материалы по JavaFX на сайте российских разработчиков Sun
Он включает инструмент JavaFX Graphics Viewer, который Microsystems – http://developers.sun.ru/javafx.
позволяет использовать графику без компиляции в байт- 3. Русскоязычная wiki по JavaFX – http://ru.jfx.wikia.com/wiki.

в документации по API JavaXF (http://java.
sun.com/javafx/1.1/docs/api).
Объекты описываются так:
def myObj = myObject {
name: "Vasya";
city: "Moscow";
number:5;
} На сцене
def myRectangle = Rectangle {
fill: Color.GREEN
width:60
height: 40
} value: side radius ↵
Первый из вышеприведённых объек-
тов является экземпляром произвольного
пользовательского класса, второй – встро-
енного класса Rectangle. Вполне допусти-
мы и композиции объектов:
def myObj=myObject {
name: "Vasya";
city: "Moscow";
number: "95050";
myRectangle: Rectangle {
fill: Color.GREEN
width:60
height: 40
} очередь, связаны размеры сторон объекта
}
Обращение к свойствам и методам
объекта происходит посредством точеч-
ной нотации:
println( myObj.myRectangle.x);
println( myObj.=print_name());
Такие необходимые элементы ООП,
как наследование и модификаторы дос-
тупа, также наличествуют.
Связывание данных
Ключевой элемент языка JavaFX Script –
возможность динамической привязки дан-
ных (data binding). Это возможность связать println("стал: {User}");
};
любой параметр с динамически изменяю-
щейся переменной. Такой код будет служить индикатором,
Лучше всего применение связывания печатая сообщения всякий раз при изме-
видно на примере: нении значения переменной User.
var side= 15;
Scene {
content: [ В основе любой программы на JavaFX на-
SwingSlider {
ходится объект Stage, представляющий
minimum: 0
maximum: 50 собой древовидную структуру, содер-
жащую в себе другие объекты приложе-
with inverse
vertical: false ния. Каждый узел такой системы, пред-
}, ставляющий собой наследника от класса
Rectangle { javafx.scene.Node, может также содержать
fill: Color.GREEN в себе объекты.
width: bind side Класс Node является полноценным кон-
height: bund side*2 тейнером, характеризующийся размерами,
}
] системой координат и реагирующим на со-
} бытия мыши. Объекты, от него образован-
В данном случае объект SwingSlider ные, можно трансформировать, объеди-
(стандартный скрол бар) определяет зна- нять в группы, применять к ним (как к отде-
чение переменной side, с которой, в свою льным, так и к группам) различные дейст-
вия или графические эффекты.
Rectangle (прямоугольник). Таким образом, Доступ к содержимому «Сцены» про-
пользователь может менять размеры фигу- изводится через объект Scene, для до-
ры, перемещая указатель скрола. бавления на нее необходимых объектов,
Ещё од ин интерес ный механизм следует импортировать соответствующие
JavaFX – триггеры, то есть конструкции, классы и описать объекты и их поведение
представляющие собой блоки кода, ис- внутри Scene.
полняемые по какому-либо событию. При- Дальше – смотрите пример, приведён-
мер того, как привязать блок кода к значе- ный в статье.
нию переменной: Подробные уроки по языку JavaFX
var User = "Misha" on replace ↵ Script, на русском языке доступны на пор-
oldValue { та ле разработчиков Sun. По а д ресу
println("Пользователь ↵
изменился"); http://developers.sun.ru/documents/javafx/
println("был: {oldValue}"); FXTutorials.

№4, апрель 2009 73

Приёмы минификации
в веб-приложениях

Антон Гришан
Любой веб-мастер желает, чтобы его сайт загружался быстрее, чем сайт конкурента, поэтому
оптимизация – важный аспект разработки любого веб-проекта.

П
онятие оптимизации охватывает огромное коли- Табличная верстка без использования стилей:
чество вопросов, начиная от настройки веб-серве-
ра, заканчивая алгоритмами обработки данных. Одно <html>
<head>
из направлений оптимизации – минификация. Здесь и да- <title>Пример: табличная вёрстка vs DIV-ная ↵
лее под термином «минификация» будем понимать вид оп- вёрстка</title>
</head>
тимизации, направленной на уменьшение размеров резуль- <body>
тирующего HTML/CSS/JS-кода без изменения внешнего ви- <table width="720px" border="0" align="center" ↵
cellpadding="0" cellspacing="0" ↵
да и функционала веб-страницы. style="margin-top:30px">
<tr>
<td colspan="3" align="center">Шапка ↵
Минификация HTML-кода сайта, логотип</td>
Результатом работы большинства веб-приложений являет- </tr>
<tr valign="top">
ся HTML-документ. Чем короче код, тем быстрее его загру- <td width="200px">Левая колонка</td>
зит клиент. Рассмотрим несколько приемов, позволяющих <td width="320px">Центральная колонка</td>
<td width="200px">Правая колонка</td>
минимизировать размер результирующего кода. </tr>
</table>
</body>
Верстка страниц без использования таблиц </html>
(Tableless)
Мощное средство минификации HTML-кода – верстка стра- Размер кода: 482 байта.
ниц на базе DIV-тегов и таблиц стилей (CSS). В отличие Верстка на базе DIV-тегов с использованием стилей:
от табличной верстки данная методология имеет множес-
тво преимуществ, одно из которых – существенное сокра- <html>
<head>
щение размера HTML-кода. <title>Пример: табличная вёрстка vs DIV-ная ↵

74
 вёрстка</title>
<link rel="stylesheet" type="text/css" ↵
href="/main.css" />
</head>
<body>
<div id="head">Шапка сайта, логотип</div>
<div id="content">
<div id="cLeft">Левая колонка</div>
<div id="cCenter">Центральная колонка</div>
<div id="cRight">Правая колонка</div>
</div>
</body>
</html>
Размер кода: 384 байта.
Если сравнить размер среднестатистической HTML-
страницы, сверстанной с помощью таблиц, и аналогичной
страницы, сверстанной на базе DIV-элементов и каскадных
таблиц стилей, можно заметить, что размер первого вариан-
та не сильно отличается от второго, если ко второму доба-
вить размер таблицы стилей. Однако таблица стилей в от-
личие от содержания страницы статична и кэшируется брау-
зером, поэтому загружается единственный раз, при первом
обращении к сайту. Таким образом, при каждой последую-
щей загрузке страницы сайта экономия трафика (и време-
ни) будет сопоставима с размером таблицы стилей.
использования кэша браузера и приемов минимизации
HTTP-запросов.
Удаление символов, не влияющих на отображение
документа
HTML-код содержит множество символов, не влияющих
на отображение документа в браузере пользователя:
n символы перевода строки (\r и \n), табуляции (\t);
n несколько идущих подряд пробелов, пробелы между ат-
рибутами тегов;
n необязательные кавычки вокруг значения атрибута тега;
n HTML-комментарии <!-- -->.
Наличие табуляций, переносов строки и комментари-
ев делает код удобочитаемым для человека, но не влияет
на отображение страницы в браузере и индексацию сайта
поисковыми системами.
Удаление символов, не влияющих на отображение до-
кумента, позволяет сократить размер HTML кода на 3-20%.
Данным приемом активно пользуются такие титаны, как
Google.com и Yandex.ru (убедиться в этом можно посмот-
рев HTML-код главной страницы поисковиков).

Вынос JavaScript и CSS в отдельные файлы Минификация HTML-кода с помощью PHP

Большинство современных веб-приложений для постро- Рассмотрим пример простейшего минификтора HTML-ко-
ения интерактивного интерфейса использует множество да, построенного на базе PHP. Принцип работы заключа-
таблиц стилей и JavaScript. Существует два способа под- ется в удалении из HTML-кода символов \n \r \t и незнача-
ключить JS/CSS-код к HTML-документу: щих пробелов.
1. Включение JS/CSS-кода в тело HTML-документа.
«За»: <?php
function htmlCompressor($html) {
n не требует отдельного HTTP-запроса для загрузки JS/ return preg_replace('/(?:\n\s*|\s\s+)/i', '', $html);
CSS-кода; }
ob_start("htmlCompressor");
n возможность динамической генерации JS/CSS-кода. ?>
<html>
<head>
«Против»: <title>Example: simple html compressor</title>
n размещение JS/CSS-кода в теле документа увеличива- </head>
<body>
ет размер HTML-кода; <h1>Hello World!!!</h1>
n не используется механизм кэширования, поэтому каж- HTML document here
</body>
дый раз при запросе документа пользователь будет пов- </html>
торно загружать JS/CSS-код. <?
ob_end_flush();
?>
2. Подключение внешних файлов, содержащих JS/
CSS-код. Результатом исполнения данного скрипта будет HTML-
«За»: код, имеющий вид:
n сокращение размера HTML-документа;
n при повторном обращении к документу браузер исполь- <html><head><title>Example: simple html compressor ↵
</title></head><body><h1>Hello World!!!</h1> ↵
зует кэш, что позволяет избежать повторной загрузки HTML document here</body></html>
JS/CSS-кода.
В примере объявлена функция htmlCompressor, отве-
«Против»: чающая за сжатие HTML-кода, переданного в аргументе.
n осложняет динамическую генерацию JS/CSS-кода; Используем ob_start() для буферизации результата рабо-
n требуется HTTP-запрос для загрузки каждого JS/CSS- ты приложения. Перед отправкой пользователю результа-
файла. тов работы приложения минимизируем с помощью функ-
ции htmlCompressor() хранящийся в буфере HTML-код.
Оба варианта обладают своими достоинствами и недо- Протестируем работоспособность метода, применив
статками. Включение JS/CSS-кода в тело документа име- компрессор к HTML-коду различных сайтов (см. таблицу 1).
ет смысл, если код генерируется динамически. В осталь- Из результатов теста видно, что степень сжатия зависит
ных случаях вынос кода во внешние файлы положительно от стиля кодирования. В среднем использование простей-
сказывается на скорости загрузки веб-документа за счет шего HTML-минификатора позволяет сократить размер до-

№4, апрель 2009 75

 Таблица 1. Результаты применения компрессора к HTML-коду различных сайтов ются один раз и при повторном запросе
Адрес страницы Размер до сжатия (байт) Размер после сжатия (байт) Компрессия подключаются из кэша браузера.
http://vkontakte.ru 7129 6689 6.17 % Однако высокая скорость первой
загрузки сайта дает существенное пре-
http://whatismyip.com 10795 9749 9.69 %
имущество, потому что многие поль-
http://torrents.ru/forum/index.php 140935 117007 16.98 %
зователи, просматривая результаты
http://anekdot.ru 29619 26543 10.39 %
выдачи поисковых систем, открыва-
http://lenta.ru 112099 107856 3.79 % ют найденные страницы во множес-
Среднее сжатие: 9.40% тве вкладок (окон) браузера и зна-
комятся с информацией по мере за-
кумента на 9,4%. Остается множество резервов для увели- грузки сайтов. Поэтому если сайт загружается быстрее,
чения степени сжатия. чем сайт конкурентов, то вероятность того, что вы полу-
n Удаление комментариев из HTML-кода. чите нового клиента, существенно повышается. Минифи-
n Удаление необязательных пробелов внутри тега (напри- кация JS/CSS позволяет существенно увеличить скорость
мер: <div title="hello world"class="menu"id="mainMenu">). первой загрузки сайта.
Минифицированный код абсолютно нечитаемый, поэто-
Используя оставшиеся резервы, можно увеличить сред- му разумно иметь две версии:
нюю степень сжатия примерно до 19% (этот параметр зави- n Версия для разработчиков. Код содержит все необхо-
сит от стиля кодирования документа). Некоторые алгорит- димые комментарии и визуальную разметку, что обес-
мы минификации HTML удаляют необязательные кавычки печивает читабельность. Используется в момент разра-
вокруг значения атрибута тега, например, так: ботки приложения.
n Версия для публикации. Код имеет минимальную дли-
<div title="hello world" class=menu id=mainMenu> ну, что обеспечивает высокую скорость загрузки.

Данная методика допустима для HTML-документа, Рассмотрим несколько популярных утилит, позволяю-
так как не противоречит стандарту, но крайне нежелатель- щих осуществить автоматический перевод JS/CSS-кода
на для XHTML. С точки зрения стандарта XML, кавычки вок- из версии для разработчиков в версию для публикации.
руг значения атрибута тега обязательны, поэтому удаление
их чревато не только появлением ошибок при проверке до- JavaScript
кумента с помощью W3C-валидатора (http://validator.w3c.org), В большинстве своём минификаторы для уменьшения раз-
но и возникновением потенциальных проблем при исполь- мера JavaScript кода делают две операции:
зовании DHTML (нарушение структуры документа). n удаляют символы, не влияющие на исполнение кода;
Корректное удаление комментариев из HTML-докумен- n заменяют длинные названия локальных переменных
та не имеет побочных эффектов, однако для корректного на более короткие.
выполнения требуется учитывать ряд специфических слу-
чаев, когда удалять строку, которая похожа на коммента- Протестируем работу наиболее известных JS-ми-
рий, нельзя. нификаторов на примере большого JavaScript-файла
Пример: (URLForward.js, размер 61773 байт), взятого из реального
проекта (см. таблицу 2).
<!--[if lte IE 6]><style type="text/css" media="all"> ↵ Рекордный уровень компрессии показал минификатор
@import url(http://www.domain.tld/css/ie6.css); ↵
</style><![endif]--> Bananascript. Такой большой отрыв от конкурентов объяс-
няется тем, что помимо стандартного алгоритма минифи-
<script language="JavaScript">
<!-- кации JS-кода разработчики данного сервиса добавили ал-
alert('<!--'); горитм компрессии, основанный на замене длинных повто-
alert('Меня удалять нельзя!');
alert('//-->'); ряющихся последовательностей байтов.
//--> Однако Bananascript не является оптимальным выбо-
</script>
ром. Сервер перед отдачей JS-кода пользователю упаку-
Можно разработать алгоритм, позволяющий коррект- ет данные с помощью gzip. Поэтому важно, чтобы полу-
но обрабатывать все возможные случаи, однако он будет чившийся в результате минимизации и упаковки код имел
достаточно сложен и потребует от сервера дополнитель- минимальную длину. Проведем еще один тест, в котором
ных ресурсов (процессорное время и память). Вызов ал- сравним лидирующие в предыдущем тесте минификато-
горитма минификации HTML осуществляется при каждом ры с учетом длины кода после упаковки с помощью gzip
запросе страницы, потому при разработке алгоритма не- (см. таблицу 3).
обходимо найти баланс между степенью сжатия и нагруз- Из последнего теста видно, что наименьший размер ко-
кой на сервер. да получается в результате использования связки Packer +
gzip, затем идет YUI Compressor + gzip, и на последнем мес-
Минификация скриптов и таблиц стилей те Bananascript + gzip.
Большинство разработчиков не уделяют внимания оптими- В первом тесте лучший результат продемонстрировал
зации внешних JS/CSS-файлов, так как эти файлы загружа- Bananascript, он же продемонстрировал худший результат

76
во втором. Данное явление можно объ- Таблица 2. Результат работы наиболее известных JS-минификаторов
яснить тем, что Bananascript уже со- № JavaScript-минификатор Размер до сжатия Размер после Экономия (байт,%)
держит алгоритм компрессии, поэтому (байт) сжатия (байт)
повторное сжатие малоэффективно. 1 Online Compressor Tool 61773 28242 33531 (54.28%)
Таким образом, лучший резуль- http://compressor.ebiene.de

тат продемонстрировал Packer + gzip. 2 Bananascript 61773 11608 50165 (81.21%)

http://www.bananascript.com
Из личного опыта (использую данное
решение более года) могу сказать, 3 JSMin 61773 29047 32726 (52.98%)
http://crockford.com/javascript/jsmin
что данная связка работает достаточ-
4 Dojo ShrinkSafe 61773 25856 35917 (58.14%)
но стабильно и никаких побочных эф- http://dojotoolkit.org/docs/shrinksafe
фектов не обнаружено.
5 Packer 61773 17009 44764 (72.47%)
http://dean.edwards.name/packer
Таблицы стилей (CSS) 6 YUI Compressor 61773 22711 39062 (63.23%)
Таблица стилей – важная часть HTML- http://developer.yahoo.com/yui/compressor
документа, отвечающая за визуали-
зацию страниц. Существует множество способов миними- .c1,.c3{color:#FFF;font-weight:700}. ↵
c2{font-weight:lighter;color:#FFF;background:blue; ↵
зировать размер CSS-кода без изменения внешнего ви- border:0;margin:18px}
да документа.
Рассмотрим некоторые способы на примере следую- Оба фрагмента кода работают одинаково, но первый код
щего CSS-кода: занимает 312 байт, а второй 109 байта (на 65,06% меньше).
Для удобства перевода CSS-кода из версии для разра-
/* Описание стиля */ ботчика в версию для конечного пользователя существует
.c1 { множество утилит, выполненных в виде прикладных про-
color:#FFFFFF; грамм и online-сервисов. Сравним несколько популярных
font-weight: bold;
} online-сервисов для компрессии CSS-кода. В качестве тес-
тового примера возьмем CSS-код, приведенный в начале
.c2 {
font-weight: lighter; этого раздела (см. таблицу 4).
color: rgb(255,255,255); Из результатов теста видно, что не все компрессо-
background-color:blue;
border:none; ры работают одинаково эффективно. Лучше остальных
margin-top: 18px; с задачей минификации тестового CSS-кода справились
margin-right: 18px;
margin-bottom: 18px; Robson CSS Compressor и Online CSS Optimizer. Эти сер-
margin-left: 18px; висы, в отличие от остальных, сумели объединить описа-
}
ние CSS-классов с1 и с2, за счет чего удалось увеличить
.c3 { процент сжатия.
font-weight: bold;
color: #FFFFFF; Утилиты оптимизации CSS, как и любое другое про-
} граммное обеспечение, не свободны от ошибок. Убедитесь
в том, что выбранный компрессор корректно обрабатыва-
Минимизируем приведенный выше CSS-код с помощью ет вашу таблицу стилей.
следующих преобразований:
n удалим комментарии; Компрессия HTTP-трафика
n удалим незначащие пробелы и символы перевода стро- Наиболее ощутимый эффект по ускорению загрузки сайта
ки, табуляции; дает компрессия трафика. Это принципиально иной способ
n удалим точки с запятой перед закрывающей скобкой уменьшения результирующего кода, идея которого заклю-
описания класса; чается в компрессии данных перед отправкой пользователю
n объединим классы, имеющие одинаковое описание с помощью алгоритмов сжатия, известных браузеру поль-
(c1 и c3); зователя (чтобы браузер мог получить исходный документ).
n преобразуем код цвета в шестнадцатеричный формат Данный способ крайне эффективен и позволяет сократить
(из rgb(255,255,255) в #FFFFFF); размер передаваемых данных в среднем на 70%.
n используем краткую запись шестнадцатеричного кода Компрессия трафика и минификация HTML/CSS/JS-ко-
цвета, заменим #FFFFFF на #FFF; да не взаимоисключающие техники, скорее наоборот, ис-
n сократим запись атрибутов класса: пользованные совместно, позволяют добиться наилучших
 заменим «margin-top:18px;margin-top:18px;margin- результатов.
top:18px;margin-top:18px» на «margin:18px;»; Подавляющее большинство браузеров умеет работать
 заменим «border:none;» на «border:0;»; со сжатым трафиком, но не все, кроме того, некоторые по-
 заменим «font-weight:bold;» на «font-weight:700;»; исковые роботы не поддерживают компрессию. Иногда
 заменим «background-color:blue;» на “background: браузер поддерживает компрессию, но в запросе к серве-
blue;». ру не поступает заголовок Accept-Encoding, такое бывает,
потому что некоторые Proxy/Firewall вырезают данное по-
В результате преобразований получим код: ле из запроса пользователя. Поэтому, прежде чем сжи-

№4, апрель 2009 77

мать данные, нужно убедиться, что клиент сможет их рас-
паковать.
Другими словами, компрессия трафика возможна толь-
ко при условии, что от пользователя получен список поддер-
живаемых алгоритмов компрессии и минимум один из них
известен серверу. В соответствии с протоколом HTTP/1.1
названия алгоритмов перечислены через запятую в поле
Accept-Encoding заголовка HTTP-запроса.
GET /index.html HTTP/1.1
Host: www.domain.tld
Accept-Encoding: gzip, deflate
User-Agent: SomeBrowser/1.0
На основании этого заголовка сервер определяет, ка-
кой метод сжатия можно использовать. Если заголовок
Accept-Encoding отсутствует или перечисленные алгорит-
мы неизвестны серверу, то компрессия не должна приме-
няться.
Для правильной интерпретации данных браузер дол-
жен знать, какой метод компрессии использовал сервер.
Для этого сервер обязан добавить в заголовок ответа по-
ле Content-Encoding, содержащее название использован-
ного алгоритма сжатия.
HTTP/1.1 200 OK
Server: Apache
Content-Type: text/html
Content-Encoding: gzip
Content-Length: 36439
[Данные сжатые cпомощью gzip]
Компрессия полезна для несжатых данных, в основном
для HTML/CSS/JS-кода. Форматы изображений, аудио/ви-
деопотоки, PDF-документы, как правило, уже содержат дан-
ные в сжатом виде, поэтому повторная компрессия мало-
эффективна и приводит к необоснованной трате процес-
сорного времени.
Алгоритмы компрессии данных Deflate и Gzip
В мире существует множество алгоритмов, пригодных
для компрессии HTTP-трафика. Для того чтобы алгоритм
мог быть использован для компрессии трафика, необходи-
мо выполнение следующих условий:
n компрессия выполнялась без потери данных;
n алгоритм известен браузеру и серверу.
Наибольшей популярностью пользуются алгоритмы:
n Deflate (http://tools.ietf.org/html/rfc1951). Алгоритм сжа-
тия данных без потерь, использует комбинацию алго-
Таблица 3. Результат работы JS-минификаторов плюс gzip-компрессия
№ JavaScript-минификатор Размер до сжатия
(байт)
1 Без минификации 61773
2 Bananascript 61773
http://www.bananascript.com
3 Packer 61773
http://dean.edwards.name/packer
4 YUI Compressor 61773
http://developer.yahoo.com/yui/compressor
78
ритмов LZ77 и Хаффмана. Deflate свободен от патен-
тов. Успешно применятся во многих утилитах и форма-
тах данных (например, графические файлы PNG).
n Gzip (http://tools.ietf.org/html/rfc1952). Формат данных,
построенный на базе алгоритма сжатия Deflate.
Другими словами, gzip – это deflate + некоторые заголов-
ки, специфичные для формата gzip. Исходя из этого, можно
предположить, что для обоих алгоритмов уровень компрес-
сии и скорость работы примерно одинаковы. В Интернете
есть статьи, в которых говорится о том, что алгоритм deflate
существенно быстрее (вплоть до 40%), чем gzip. Я провел
собственное тестирование обоих алгоритмов, в ходе кото-
рого значительных различий по скорости работы или уров-
ню сжатия обнаружить не удалось.
Компрессия данных с помощью веб-сервера
Большинство веб-серверов умеют выполнять компрессию
данных перед отправкой. Например, в Apache для этого су-
ществуют модули, позволяющие выполнять компрессию
на лету. Наиболее известные из них:
n mod_gzip (http://sourceforge.net/projects/mod-gzip);
n mod_deflate (http://httpd.apache.org/docs/2.0/mod/mod_
deflate.html).
Подробную информацию об установке и настройке мо-
дулей моно найти на сайтах проектов. Оба модуля вы-
полняют одну и ту же работу с минимальными отличия-
ми, однако mod_deflate начиная со второй версии сервера
Apache вошел в официальный дистрибутив и призван за-
менить mod_gzip. Подробную информацию об установке
и настройке модулей можно найти на официальных сай-
тах проектов.
Компрессия в PHP-приложениях
Для того чтобы функции компрессии были доступны в PHP,
необходимо установить расширение zlib. В большинстве
случаев данное расширение установлено.
Во всех рассмотренных ниже примерах компрессия
осуществляется с учетом полученного от клиента заголов-
ка Accept-Encoding. Если заголовок в запросе отсутствует,
то компрессия не применяется, иначе используется один
из поддерживаемых клиентом алгоритмов компрессии
(обычно gzip, реже deflate). Название использованного ал-
горитма будет передано клиенту в поле Content-Encoding
HTTP-заголовка.
1. Компрессия с помощью ob_gzhandler(). Компрес-
сия трафика осуществляется внутри PHP-приложения сле-
дующим образом.
<?php
Размер после Размер после ob_start("ob_gzhandler");
сжатия (байт) минификации + ?>
gzip-компрессии (байт) Hello world!
n/a 61773 <?
ob_end_flush();
11608 6569 ?>
17009 5500
С помощью оператора ob_start()
22711 5555
включается режим буферизации вы-
вода, то есть данные, выводимые при-
ложением во время работы, отправля- Таблица 4. Сравнение нескольких online-сервисов для компрессии CSS-кода
ются не прямиком в браузер пользо- № CSS-минификатор Размер до сжатия Размер после Экономия
вателя, а в специальный буфер. В ка- (байт) сжатия (байт) (байт,%)

честве обработчика буфера указана 1 Ручное сжатие 312 109 203 (65.06%)
функция ob_gzhandler, которая отве- 2 CSS Compressor 312 225 87 (27.88%)
чает за компрессию данных перед от- http://shygypsy.com/cssCompress

правкой пользователю. 3 CSS Formatter and Optimizer 312 143 169 (54.17%)
http://www.cleancss.com
2. Прозрачное сжатие с исполь-
4 CSS Drive CSS Compressor 312 215 97 (31.09%)
зованием библиотеки zlib. Суть ме- http://www.cssdrive.com/index.php/main/csscompressor
тода заключается в том, что всю ра-
5 Robson CSS Compressor 312 116 196 (62.82%)
боту по компрессии трафика выпол- http://iceyboard.no-ip.org/projects/css_compressor
няет интерпретатор PHP. Данный под- 6 Online CSS Optimizer 312 123 189 (60.58%)
ход позволяет включить режим комп- http://www.cssoptimiser.com
рессии данных без внесения измене-
ний в код приложения. Результат работы обоих методов одинаков, однако вто-
Для активации автоматической компрессии необходи- рой более предпочтителен, так как не требует модифика-
мо прописать в конфигурационном файле php.ini следую- ции приложения для включения режима компрессии дан-
щие директивы: ных. Использование одновременно обоих методов невоз-
можно (не имеет смысла) и приводит к появлению сооб-
zlib.output_compression = On щения вида:
Warning: ob_start() [ref.outcontrol]: output handler 'ob_gzhandler'
Если не используется режим буферизации, то дан- conflicts with 'zlib output compression' in /home/www/test.php on
ные в браузер передаются порциями по 4 Кб, упакован- line 8
ные с помощью gzip. Изменить размер порции можно с по-
мощью zlib.output_compression, указав вместо On нужный Заключение
размер в байтах. Существует множество приемов, позволяющих применять
компрессию не только к HTML-документам, но и к CSS/JS-
zlib.output_compression = 1048576 коду. Однако в отличие от HTML-кода CSS/JS в большей ме-
ре статичные данные, которые должны кэшироваться брау-
Передача файла, разбитого на порции, негативно вли- зером, поэтому компрессия CSS/JS важна только для пер-
яет на общий уровень компрессии и повышает нагрузку вой загрузки сайта.
на процессор. Желательно передавать сжатый файл цели-
ком. Для этого необходимо включить буферизацию: 1. Общее описание понятия «минификация» – http://en.wikipedia.
org/wiki/Minification_(programming).
output_buffering = On 2. Технология Tableless – верстка HTML-страниц без таблиц –
zlib.output_compression = On
http://en.wikipedia.org/wiki/Tableless_web_design.
С помощью директивы zlib.output_compression_level 3. Советы по построению высокопроизводительных веб-прило-
можно установить необходимый уровень компрессии. Па- жений – http://developer.yahoo.com/performance/rules.html.
раметр может принимать значения от -1 до 9, где -1 означа- 4. Обсуждение примера реализации HTML-минификатора на ба-
ет, что сервер сам выбирает уровень компрессии, 0 – ком- зе PHP – http://forum.dklab.ru/viewtopic.php?t=26182.
прессия отсутствует. 5. Тестирование инструментов для сжатия CSS – http://webo.in/
articles/habrahabr/14-minifing-css.
output_buffering = On 6. Тестирование инструментов для сжатия JS – http://webo.in/
zlib.output_compression = On
zlib.output_compression_level = 5 articles/habrahabr/11-minifing-javascript.
7. Расширение Zlib для PHP – http://ru.php.net/manual/en/
Если нет доступа к php.ini, то аналогичного эффекта book.zlib.php.
можно добиться, прописав в файле .htaccess следующие 8. Модуль deflate для Apache – http://httpd.apache.org/docs/2.0/
команды: mod/mod_deflate.html.
9. Модуль gzip для Apache – http://sourceforge.net/projects/
php_flag output_buffering On mod-gzip.
php_flag zlib.output_compression On
php_flag zlib.output_compression_level 5

№4, апрель 2009 79

Мал, да удал: мини-комьютер PDP-8
А вы ноктюрн сыграть могли бы
на флейте водосточных труб?

Владимир Маяковский

Что бы вы ответили человеку, который

поставил перед вами задачу написания
программного обеспечения контроля
за состоянием атомного реактора, используя
в качестве платформы, скажем, современный
мобильный телефон? Почти наверняка можно
предположить, что такого человека сочтут
несколько неадекватным.

Алексей Вторников
О
днако если обратиться к событиям 60-х годов XX ве-
ка, то обнаруживается, что такое программное обес-
печение было разработано. И разработано, кстати,
вполне успешно, что доказывает опыт эксплуатации весь-
ма больших и опасных объектов.
Рассматриваемый в этой статье компьютер интересен
не столько с исторической точки зрения, сколько оригиналь-
ными решениями, воплощенными при его проектировании,
которые могут оказаться поучительными и полезными для
современных разработчиков как программного, так и аппа-
ратного обеспечения.
Пролог и dramatic personae
Вначале были мини-компьютеры PDP-4 (1962) и PDP-5
(1963), разработанные выдающимся инженером и иссле-
дователем Гордоном Беллом (Gordon Bell). PDP-5 был экс-
периментальным проектом, но его архитектура оказалась
столь удачной, что было произведено около 1000 экземп-
ляров, что для опытных образцов необычно много. Работы
было решено продолжить, и в 1965 году на основе PDP-5
Уэсли А. Кларком (Wesley Allison Clark) и Чарлзом Э. Мол-
наром (Charles Edwin Molnar) был разработан мини-ком-
пьютер PDP-8.
PDP-8 выпускался американской корпорацией Digital
Equipment Corporation (DEC) до второй половины 70-х годов
прошлого столетия в различных модификациях (PDP-8/S,
PDP-8/I и проч.), отличавшихся в основном объемом ус-
тановленной памяти, элементной базой и набором пери-
ферийного оборудования (см. рис. 1). В ряде стран выпус-
кались клоны PDP-8 (например, мини-ЭВМ «Электрони-
ка-100И», выпускавшаяся в СССР).
Интересной особенностью мини-компьютеров PDP-8
(как, впрочем, и большинства компьютеров того времени)
было то, что панель управления отражала их внутреннюю
архитектуру: наборы индикаторов и тумблеров позволяли
следить за содержимым регистров и памяти, а также вво-
дить программы в машинных кодах и управлять ходом вы-
полнения программы.
На левой панели находилась распечатка машинно-
го кода для загрузки компьютера; при необходимости
этот код можно было ввести вручную и инициализировать
систему.
На правой панели отображалась текущая выполняе-
мая инструкция.
Набор тумблеров (вернее, часть из них) в нижнем ряду
позволяет управлять специальным регистром (switch register
или SR) для задания пары «адрес памяти + данные» с пос-
ледующим их вводом в ячейки памяти.
С правой стороны управляющей панели (между инди-
каторами и тумблерами регистра SR) располагались уп-
равляющие кнопки.
Быстродействие PDP-8 по современным меркам бы-
ло невелико (до 385 тысяч операций сложения в секунду),
что обусловлено, конечно, в первую очередь их элемен-
тной базой: магнитная память на ферритовых сердечни-
ках и транзисторы в схемах процессора и устройства уп-
равления. В последних модификациях PDP-8 уже приме-
нялись интегральные микросхемы, но, к сожалению, век
PDP-8 заканчивался.
№4, апрель 2009
Рисунок 1. Передняя панель (панель управления)
мини-компьютера PDP-8/I
Во-первых, потому что DEC полностью переключилась
на выпуск 16-битных мини-компьютеров PDP-11 (впослед-
ствии 32-битных компьютеров VAX).
Во-вторых, в связи с бурным развитием микроэлектро-
ники стало возможным производить основные компонен-
ты компьютеров – процессор и память – с гораздо мень-
шими затратами.
Стойки PDP-8 стали постепенно исчезать, сменяясь
более новыми, более мощными и более дешевыми ком-
пьютерами, и настал день, когда PDP-8 был снят с произ-
водства. PDP-8 продолжали «трудиться» еще несколько
лет, но все было кончено – компьютер уходил в прошлое.
Но для своего времени PDP-8 оказался настоящим про-
рывом – никогда до этого компьютеры не производились
в таких масштабах.
С самого начала PDP-8 проектировался как компьютер
общего назначения, пригодный не только для контроля и уп-
равления оборудованием, но и для решения широкого спек-
тра задач: системного программирования (в том числе ОС
разделения времени – предтеч современных многопльзо-
вательских ОС), обработки научных и телеметрических дан-
ных, бизнес-приложений и впоследствии даже игр.
В отличие от других компьютеров той славной эпохи,
PDP-8 производился серийно: всего было выпущено око-
ло 50000 машин.
В производстве PDP-8 был применен ряд технологичес-
ких новшеств, которые позволили DEC установить на PDP-8
цены ниже цен других производителей компьютеров. Ми-
ни-компьютеры PDP-8 (впрочем, как и все, что разрабаты-
валось и производилось DEC) отличались надежностью,
удобством эксплуатации, широким спектром применения
и расширяемостью.
Техническое замечание
В дальнейшем изложении будет широко использоваться
понятие позиционных систем счисления (двоичной, вось-
меричной и десятичной). Читателям, забывшим, что это
такое (не хочется думать, что найдутся такие, кто о них
ничего не знает), правила перевода чисел из одной сис-
темы счисления в другую, а также понятия дополнений
до 1 и до 2, рекомендуется освежить свои знания, вос-
пользовавшись любым приличным учебником информати-
ки; практически любая книга по программированию на ас-
81
 битные байты. Этого, ко- но таким образом? Найдите, например,
нечно, мало по любым мер- восьмеричное и двоичное представле-
кам, в том числе и по мер- ния -1024(10).
Рисунок 2. Слово PDP-8 и порядок нумерации кам времени, когда созда- При переполнении AC регистр L ин-
битов в нем вался PDP-8. По сравнению вертируется (дополняется до 1), то есть
с любым современным ком- его значение меняется с 0 на 1 и об-
пьютером это совершенно ратно. Отсюда следует, что по одно-
Рисунок 3. Регистры L и AC ничтожная величина, одна- му только текущему содержимому ре-
ко ряд архитектурных реше- гистра L нельзя сказать, имело ли мес-
семблере содержит всю необходимую ний и система команд позволили тем то переполнение AC или нет: это зави-
информацию. Без этого многое в ста- не менее превратить PDP-8 в один из сит от его предыдущего состояния. На-
тье останется непонятным. Большую самых успешных компьютеров. Кро- пример, пусть перед операцией при-
помощь могут оказать калькуляторы, ме того, некоторые модели оборудова- бавления 1 регистры AC и L были со-
способные работать в этих системах лись памятью в 8 раз большей, то есть ответственно такими (для нагляднос-
счисления. Система счисления будет 32768(10) ячеек, чего было вполне до- ти мы разбили регистр AC на 4 груп-
указываться в скобках после числа, статочно для решения весьма нетри- пы по 3 бита):
например, 5077(8). виальных задач.
Кое-где будут встречаться упраж- Как и в привычных всем компью- 1 111 111 111 111
нения, требующие самой минимальной терах, в PDP-8 и программы, и данные
подготовки; рекомендую не пренебре- разделяют общую память («архитекту- После прибавления к содержимо-
гать ими и попробовать решить – поль- ра фон-Неймана»). му AC единицы его содержимое ста-
за будет несомненной. нет равным:
Ответы и указания к упражнениям – Одноадресная машина
в конце статьи. Арифметические и логические опе- 1000000000000
рации в PDP-8 выполняются с исполь-
Слова, слова, слова… зованием универсального 12-битного Однако поскольку это число превы-
Первое, что бросается в глаза при зна- регистра – аккумулятора (accumulator), шает 12 бит, то самая левая единица
комстве с PDP-8, это то, что в качестве обозначаемого как «AC». Если опера- оказывается «лишней» и регистр L ин-
основной единицы хранения и обработ- ция (например, сложение или вычита- вертируется с 1 на 0. Окончательно:
ки информации выступают 12-битные ние) предполагает наличие двух опе-
слова. Никаких привычных современ- рандов, то первый из них находится 0 000 000 000 000
ному программисту байтов нет и в по- в AC, а второй – в ячейке памяти. Ре-
мине (разумеется, возможность рабо- зультат операции остается в AC. Таким Именно потому, что в команде мож-
ты с отдельными битами или группами образом, в машинных командах может но сослаться не более чем на один опе-
битов внутри слова имеется – без это- быть использован не более чем один ранд, PDP-8 не позволяет непосред-
го никуда). операнд из памяти; поэтому PDP-8 от- ственно сложить значения из двух яче-
Биты в слове перенумерованы от 0 носится к так называемым одноадрес- ек памяти: для этого обязательно нуж-
до 11 слева направо (см. рис. 2). ным машинам. но использовать пару L-AC, последова-
Такой порядок нумерации битов В дополнение к аккумулятору име- тельно загружая регистр AC содержи-
отличается от нумерации, принятой ется однобитный регистр перено- мым из памяти и выполняя сложение.
в большинстве процессоров, таких, са, обозначаемый через «L» (от англ.
например, как x86. Однако понятно, link). Графически эта пара регист- Предварительные итоги
что это не более чем соглашение. ров изображается следующим обра- PDP-8 представляет собой одноадрес-
Для удобства программирова- зом (см. рис. 3) и кратко обозначает- ный мини-компьютер, оперирующий
ния биты в словах принято разбивать ся как «L-AC». 12-битный AC позволя- 12-битными словами с использованием
на 4 группы по 3 бита в каждой: таким ет хранить числа со знаком в диапа- дополнения до 2 для представления от-
образом, число 110011100010(2) можно зоне от -2048(10) до 2047(10). Разуме- рицательных чисел. Доступное адрес-
записать как 110 011 100 010(2). Обра- ется, это очень небольшие величины, ное пространство (в базовой конфи-
тившись к восьмеричной системе счис- и для обработки больших чисел нуж- гурации) ограничено 4096(10) слова-
ления (системе счисления по основа- но соответствующие операции либо ми (для некоторых моделей PDP-8 ад-
нию 8, использующей цифры от 0 до 7), эмулировать программно (что вовсе ресное пространство расширяется до
немедленно получаем 6342(8). не сложно), либо использовать специ- 32767(10) слов). Все арифметические
Легко видеть, что 12-битные сло- альное оборудование. Отрицательные и некоторые логические операции про-
ва ограничивают диапазон доступ- числа представляются в виде дополне- изводятся над содержимым пары L-AC.
ных адресов памяти значениями ния до 2: 7777(8) = -1(10), 7776(8) = -2(10) При написании программ используется
от 0 до 212-1= 4095(10), то есть всего и так далее. преимущественно восьмеричная сис-
4096(10) ячеек памяти, что составля- Упражнение 1: проверьте, хоро- тема счисления; данные в самом ком-
ет всего 4096*12/8 = 6144 байт, или 6 шо ли вы понимаете, почему отрица- пьютере, разумеется, представляются
Кб в пересчете на «стандартные» 8- тельные числа представляются имен- как двоичные числа.

82
Типы инструкций
Самые интересные решения в архи-
тектуре PDP-8 связаны с памятью –
доступом и методами адресации. Их
я буду описывать параллельно с сис-
темой команд компьютера: тем самым
достигается более ясное понимание
их взаимосвязи.
Система команд PDP-8 включает
в себя три типа инструкций: инструк-
ции, ссылающиеся на память (memory
reference insrtuctions, MRI), инструкции
ввода/вывода (IO) и так называемые
микроинструкции (microinstructions).
Операции работы с памятью
Как вы думаете, сколько всего опе-
раций для работы с ячейками памяти
предусмотрено в PDP-8? Уверен, боль-
шинству читателей ответ покажется
невозможным: их всего 6! Формат сло-
ва, содержащего такую операцию, вы-
глядит так (см. рис. 4).
Биты с 0 по 2 (обозначенные как
«КОП») представляют собой код опе-
рации от 0 до 5 (от 000(2) до 101(2)).
Операции работы с памятью перечис-
лены в таблице.
Рассмотрим остальные биты. Бит 3
(обозначен на рисунке как «К») – при-
знак косвенной адресации: если он
установлен в 1, то содержимое ячей-
ки памяти интерпретируется не как
операнд, а как адрес операнда. Бит 4
(обозначен как «С») – это страница
памяти. Вот здесь нужно остановить-
ся подробнее.
Память PDP-8 (как мы помним,
в базовом варианте PDP-8 ее размер
составляет 4096(10) последователь-
но перенумерованных слов) разбита
на 32(10) страницы, размером 128(10)
слов каждая.
Каждая страница, разумеется,
имеет свой номер от 0 до 31(10) (в вось-
меричной записи до 37(8)). Последние
7 бит слова, содержащего команды
(с 5-го по 11-й), – это смещение адре-
са внутри страницы.
Упражнение 2: убедитесь, что ука-
занные 7 бит смещения действитель-
но могут адресовать 128(10) слов внут-
ри страницы.
Вернемся к биту 4. Очевидно,
что он может принимать только два
значения: 0 или 1. Если бит 4 равен
0, то это означает, что смещение ука-
зывает на адреса, входящие в сос-
тав нулевой страницы (т.е. на первые
№4, апрель 2009
128(10) адресов памяти с аб-
солютными значениями от 0
до 127(10)).
Если бит 4 равен 1, то это Рисунок 4. Формат слова, содержащего операцию
означает, что смещение ука- работы с памятью
зывает на адреса, входящие
в состав той страницы памя-
ти, на которой располагается Рисунок 5. Пример операции
сама команда. Лучше все это
разобрать на небольших примерах. Предыдущее значение, хранившееся
Допустим, аккумулятор содержит в этой ячейке памяти, будет утеряно.
значение: Если бит 4 установить в 1, то эта
команда будет выполнена уже иначе.
000000111100(2) = 74(8) = 60(10) Поскольку бит 4 равен 1, а сама ко-
манда располагается на первой стра-
и процессор PDP-8 выполняет команду нице памяти по адресу 200(8), что со-
(число слева указывает на абсолютный ответствует абсолютному адресу
адрес расположения команды в памя- 000 010 000 000(2), то после выполне-
ти) (cм. рис. 5). ния команды содержимое AC будет со-
Упражнение 3: какой странице па- хранено по адресу страницы плюс сме-
мяти соответствует абсолютный адрес щение внутри страницы, то есть по ад-
200(8)? Определите двоичное и деся- ресу 207(8).
тичное значения адреса этой стра- Предыдущее значение, хранивше-
ницы. еся в ячейке памяти с адресом 207(8),
Разберем команду на составляю- будет утеряно. Наконец, в обоих слу-
щие (здесь для наглядности я отступаю чаях содержимое AC после выполне-
от принятого ранее соглашения разби- ния команды станет равным 0.
вать слово на 4 группы по 3 бита). Бит 3 (косвенная адресация) поз-
Первые три бита (011) – это код опе- воляет организовать еще более гиб-
рации DCA (выгрузить содержимое AC кий способ доступа к ячейкам памяти.
по указанному адресу, после чего AC Разумеется, использование косвен-
очистить). ной адресации несколько увеличива-
Бит 3 равен 0; это означает, что кос- ет время доступа к нужной ячейке па-
венная адресация не используется. мяти, поскольку, грубо говоря, необ-
Бит 4 равен 0, что, как мы помним, ходимо найти адрес по адресу (позже,
означает страницу 0. при обсуждении механизма подпро-
Наконец, смещение (биты с 5 по 11) грамм, я вернусь к этому вопросу).
представляет собой число 7(8) = 7(10). Страница 0 доступна всегда и из
Как процессор «справится» с такой любого места программы и занимает
командой? в некотором роде привилегированное
Главное – это вычислить адрес положение. Остальные страницы на-
ячейки памяти, по которому будет со- зываются текущими.
хранено текущее значение аккуму- Биты 3 и 4 могут комбинировать-
лятора. ся в соответствии с логикой програм-
Так как номер страницы, указан- мы и алгоритмом (то есть возможны 4
ный в команде, равен 0, то смещение способа адресации). Это немного по
указывает на адрес 000 000 000 007(2) сравнению с современными процессо-
(проверьте) и именно по этому адре- рами, но для практических целей впол-
су и будет сохранено значение AC. не достаточно.
Операции работы с памятью
Мнемоника КОП Описание
AND 000 Логическое «И» содержимого ячейки памяти и содержимого AC. Результат – в AC
TAD 001 Сумма содержимого AC и содержимого ячейки памяти. Результат – в АС
ISZ 010 Инкремент содержимого ячейки памяти. Если содержимое ячейки памяти стало
равным 0, то пропустить следующую операцию
DCA 011 Выгрузка содержимого AC в ячейку памяти с последующей очисткой AC
JMS 100 Вызов подпрограммы
JMP 101 Безусловный переход
83
 чить скорость вычислитель- Устройства ввода/вывода могут уп-
ных операций. равляться как напрямую, так и по пре-
Программы на PDP-8 по- рываниям (прерывания могут оказать-
лучаются, таким образом, ся необходимыми и для других целей,
Рисунок 6. Формат слова, содержащего операцию
ввода/вывода несколько длиннее анало- например, при разработке операцион-
гичных программ для при- ных систем).
Кроме того, PDP-8 позволяет орга- вычных двухадресных компьютеров Запрещение и разрешение преры-
низовать так называемое автоиндек- с более развитой системой команд. ваний кодируются этой же инструкци-
сирование – полезный способ адреса- Спору нет, такой несколько «пури- ей: для этого достаточно выбрать ус-
ции при организации циклов. Для ис- танский» подход к системе команд воз- тройство ввода/вывода с номером 0.
пользования автоиндексации на стра- лагает на программиста дополнитель- Тогда, если в битах с 9-го по 11-й со-
нице 0 резервируются несколько яче- ные заботы, но давайте вспомним вре- держится комбинация 001(2), то будет
ек памяти. Я, однако, останавливать- мя, когда появился PDP-8. включен режим разрешения прерыва-
ся на этих деталях не буду. Заинтере- Память представляла собой мас- ний, а если комбинация 010(2), то пре-
сованный читатель может найти всю сив миниатюрных ферритовых сер- рывания будут запрещены.
необходимую информацию, обратив- дечников с намотанным на каждом Опытные программисты хорошо
шись к ссылкам, приведенным в кон- сердечнике проводом. При пропус- знают, что программирование уст-
це статьи. кании электрического тока в том или ройств ввода/вывода одна из наибо-
ином направлении ферритовый сер- лее сложных задач, поэтому за неиме-
И это все? дечник мог намагничиваться в одном нием места я не буду больше останав-
Внимательный читатель наверняка из двух направлений – так реализовы- ливаться на обсуждении вопросов вво-
спросит: а как в PDP-8, например, вы- валось хранение информации в двоич- да/вывода в PDP-8 и направляю за-
полнить вычитание – ведь такой опе- ном представлении. Один сердечник интересованного читателя к ссылкам
рации в системе команд не предус- соответствовал одному биту. Неслож- в конце статьи.
мотрено? Верно, не предусмотрено. ный подсчет показывает, какое коли-
И не только вычитания, но ряда дру- чество сердечников содержала память Микроинструкции
гих полезных и необходимых опера- в базовом варианте PDP-8: 12*4096 = Микроинструкции – это, пожалуй, са-
ций, как, например, пересылки дан- 49152(10)! А ведь каждый сердечник мый многочисленный «отряд» опера-
ных из одной ячейки памяти в другую. необходимо было намотать проводом, ций PDP-8. Эти операции не ссылают-
Но так ли необходимо в системе ко- распаять на плате, подвести управля- ся на память, а работают в основном
манд иметь, скажем, команду вычи- ющие шины... Понятно, что борьба шла с парой L-AC. Для всех микроинструк-
тания? Если подумать, то совсем не- за каждый бит памяти и поэтому систе- ций зарезервирован один код опера-
обязательно: достаточно представить ма команд была минимальной – все, от ции: 111(2) = 7(8). Микроинструкции
вычитаемое в виде дополнения до 2 чего можно было отказаться (пусть да- разделены на два класса, отличающи-
и выполнить сложение. Так же прос- же путем дополнительных затрат труда еся один от другого состоянием бита 3:
то решается задача пересылки дан- программиста), исключалось. Сегод- при его нулевом значении биты с 4-го
ных из ячейки памяти А в ячейку памя- ня это трудно представить, но по тем по 11-й задают микроинструкции 1-й
ти В: нужно последовательно очистить временам это был весьма разумный группы, в противном случае – 2-й груп-
содержимое AC (как это сделать я рас- подход. пы. Подробно останавливаться на всех
скажу дальше), загрузить AC данными микроинструкциях я не буду – во-пер-
из ячейки А (см. операцию TAD), а за- Инструкции ввода/вывода вых, их много, во-вторых, их назначе-
тем сохранить содержимое AC в ячей- Для организации ввода/вывода в ние будет понятно из нескольких при-
ку В (см. операцию DCA). PDP-8 предусмотрена одна единст- меров. Рассмотрим две операции пер-
Отдельно необходимо сказать о вы- венная инструкция. Вот ее формат вой группы микроинструкций: очистка
числениях с плавающей запятой. В ба- (см. рис. 6). AC и очистка L. Их мнемоники, соответ-
зовой комплектации PDP-8 поддержи- Из рисунка видно, что код операции ственно, CLA и CLL. В двоичном пред-
вал только целочисленную арифмети- ввода/вывода – всегда 6. Биты с 3-го ставлении (см. рис. 7, 8).
ку, чего для управляющих процессов по 8-й задают устройство (клавиатуру, А в восьмеричном, соответственно,
и научных расчетов было явно недо- принтер, ленточный или дисковый на- 7200 и 7100. Эти две операции можно
статочно. Была разработана специ- копитель и так далее). Всего к PDP-8 объединить в одну, записав как «CLA
альная библиотека для эмуляции этих можно было подключать до 64(10) ус- CLL» (см. рис. 9).
операций. Кроме того, в большинстве тройств (почему?). Скажем, клавиату- Упражнение 4: определите вось-
моделей PDP-8 был предусмотрен спе- ра имеет номер 000011(2). меричный код такой операции.
циальный регистр для расширения ак- Биты с 9-го по 11-й определяют од- Очевидно, что этим достигается
кумулятора AC и позволявший умно- ну из восьми операций ввода/вывода. значительная экономия памяти, пос-
жать и делить большие числа. Путем Обычно предусмотрено до 3-х опера- кольку позволяет объединить в од-
подключения к PDP-8 специальных ций для каждого устройства, но если ном слове несколько инструкций, ко-
блоков операций с плавающей запя- их должно быть больше, то в битах 9-11 торые процессор PDP-8 выполнит, ког-
той можно было значительно увели- остается некоторый «запас». да до них дойдет время.

84
 Более подробно останавливать-
ся на микроинструкциях в этой статье
нет смысла – всю информацию чита-
тель сможет найти по ссылкам в конце
статьи. Единственное, что нужно отме-
тить, что операции 1-й группы микро-
инструкций «обслуживают» в основ-
ном пару L-AC, устанавливая в них за-
данные значения, в то время как опера-
ции 2-й группы проверяют содержимое
регистров L и AC на соответствие опре-
деленным условиям и позволяют орга-
низовать гибкие ответвления и перехо-
ды (путем пропуска следующей коман-
ды в потоке выполнения). Например,
микроинструкция второй группы SZA
пропускает следующую инструкцию в
потоке управления, если содержимое
AC равно 0; вот ее двоичное представ-
ление (см. рис. 10). Если содержимое
AC равно 0, то инструкция, следующая
за SZA, будет пропущена.
Упражнение 5: определите вось-
меричный код этой операции.
Подпрограммы
Перед тем как завершить обзор архи-
тектуры PDP-8, имеет смысл немного
задержаться на подпрограммах, их вы-
зовах и, главное, на возврате из под-
программ в вызывающий код.
Причина, почему я на этом оста-
навливаюсь, проста – в PDP-8 нет
стека. Конечно, его можно эмулиро-
вать программно, но это совсем дру-
гой вопрос. Главное, что аппаратный
стек в архитектуре PDP-8 отсутству-
ет. Плохо это или нет, я здесь обсуж-
дать не буду (скорее плохо, поскольку
стек очень уж «полезная» часть архи-
тектуры компьютера). Как же в таком
случае использовать подпрограммы
(вспомните, при обсуждении операций
работы с памятью я перечислил в чис-
ле прочих и операцию вызова подпро-
граммы)? Передать управление под-
программе, очевидно, несложно: по су-
ти, это безусловный переход в нужную
точку программы. А вот как вернуться
назад, не имея стека, проще говоря –
где и как сохранить адрес возврата?
Можно, конечно, выделить в памя-
ти определенную ячейку памяти и пе-
ред вызовом подпрограммы сохранять
в ней нужное значение программно-
го счетчика. Но если вызовов подпро-
грамм несколько, то в этой ячейке бу-
дет сохранено только последнее зна-
чение программного счетчика – все ос-
№4, апрель 2009
тальные будут безвозвратно
затерты.
Конструкторы PDP-8 на- Рисунок 7. CLA
шли элегантное, хотя и не-
обычное, решение: адрес
возврата должен храниться
в самой подпрограмме! Ко- Рисунок 8. CLL
нечно, это не стек (скажем,
при таком способе органи-
зации подпрограмм неиз-
бежно возникнут проблемы Рисунок 9. CLA CLL
с рекурсивными вызовами),
но зато при таком способе
подпрограмма сама «знает»,
куда надо передать управле- Рисунок 10. L-AС
ние по окончании своей ра-
боты. Проще показать все это на при- передано управление после исполне-
мере (для наглядности в левой колонке ния команды «JMP I SUBST»? Попы-
я указал восьмеричные адреса памяти, тайтесь вручную оттранслировать этот
по которым располагается этот фраг- фрагмент программы.
мент программы) (см. рис. 11). Управление будет передано по ад-
Хотя я и не рассказывал, что из се- ресу, хранящемуся в ячейке памяти
бя представляет программа на ассем- SUBRT, то есть, как мы помним, по ад-
блере для PDP-8, думаю, ничего слож- ресу 1211(8). Итак, для выхода из под-
ного в примере нет, тем более что все программы и возврата к основной час-
будет сейчас объяснено. ти программы необходим так называ-
По адресу 1210(8) происходит вы- емый косвенный переход – переход
зов подпрограммы. Подпрограмма на- по адресу, хранящемуся не в самой ко-
чинается с ячейки памяти, помеченной манде, а в ячейке памяти.
как «SUBRT» (заметьте, что в ассемб-
лере PDP-8 метки отделяются от ос- Шина OMNIBUS
тального кода запятыми) по адресу Рассказ о мини-компьютерах PDP-8
1240(8). Итак, переход к подпрограм- был бы неполным без упоминания та-
ме осуществлен. кой важной его составляющей, как ши-
Ячейка памяти, имеющая метку на OMNIBUS. Основное назначение
SUBRT, предназначена для одной це- шины OMNIBUS состояло в переда-
ли – в ней удерживается (сохраняет- че команд и сигналов между модуля-
ся) адрес команды, непосредственно ми PDP-8. Физически OMNIBUS пред-
следующей за командой вызова под- ставляла собой плату с коннектора-
программы (в данном случае это ад- ми и слотами для присоединения раз-
рес 1211(8) инструкции «JMP BEGIN»), личных устройств. Коннекторы позво-
то есть по существу адрес возврата. ляли организовать доступ к адресной
Любое значение, хранившееся в ячей- шине, шине данных памяти и управ-
ке 1240(8) до вызова подпрограм- ления, шине данных, прямой доступ
мы, будет затерто значением 1211(8). к памяти (доступ к памяти, минуя про-
Фактически подпрограмма начина- цессор), сигналы таймера и так далее
ет выполняться с операции, следую- (всего 96 сигналов).
щей за точкой входа в подпрограмму,
то есть с адреса 1241(8); какую именно
задачу решает подпрограмма в приме-
ре, для нас в настоящее время не су-
щественно.
По адресу 1255(8) – последней ко-
манде в подпрограмме – находится
команда безусловного перехода с ис-
пользованием косвенной адресации
(на это указывает символ «I»).
Упражнение 6: перед тем как чи- Рисунок 11. Программа (фрагмент),
тать дальше, подумайте – куда будет демонстрирующая вызов подпрограммы
85
 Знакомство с шиной OMNIBUS не-
обходимо прежде всего при програм-
мировании операций ввода/вывода
и управления периферийными уст-
ройствами, подключаемыми к PDP-8
(датчиками, приборами и прочее). Пос-
кольку, как я уже упоминал, это одна
из наиболее сложных задач, стоящих
перед программистом, заинтересован-
ный читатель может обратиться к доку-
ментации по ссылкам в конце статьи.
Программное обеспечение
Для мини-компьютера PDP-8 и его мо-
дификаций был создан весьма внуши-
тельный объем программного обес-
печения. Существовало объединение
разработчиков и пользователей ПО
для мини-компьютеров, выпускавших-
ся DEC (не только для PDP-8): DECUS
(Degital Equipment Corporation User's
Society). DECUS координировало про-
цесс разработки ПО, обеспечивало его
участников доступом к существующе-
му ПО и к важной технической и тех-
нологической информации.
Прежде всего я расскажу о сис-
темном ПО, включавшем ассемблеры,
компиляторы языков программирова-
ния и операционные системы.
Ассемблеры
Для PDP-8 были разработаны 4 вари-
анта ассемблера. Ассемблер PAL-III
представлял собой ассемблер для мо-
делей, оборудованных базовым объ-
емом памяти 4096 слов. Его расши-
ренная модификация MACRO-8 позво-
ляла определять в программах макро;
ассемблер поддерживал двойную точ-
ность арифметических операций, опе-
рации с плавающей точкой, литералы
и некоторые другие расширения. Ас-
семблер PAL-D предназначался исклю-
чительно для использования на моде-
ли PDP-8/I совместно с дисковым мо-
нитором (disk monitor system). Нако-
нец, ассемблер SABR предназначал-
ся для программирования на моделях
с объемом памяти больше 4096 слов
и обладал самыми лучшими возмож-
ностями.
Кроме ассемблеров, с PDP-8 пос-
тавлялись несколько отладчиков, сре-
ди которых наиболее широкими воз-
можностями располагал отладчик
ODT-8 (octal debugging technique), пред-
шественником которого (разумеется,
с гораздо более скромными возмож-
86
ностями) был отладчик ODT, разрабо- из которых первые 8192 слов предна-
танный для PDP-5. значались для размещения программ
монитора операционной системы, а ос-
Компиляторы и интерпретаторы тавшиеся 4096 слов разделялись меж-
Для PDP-8 были написаны компи- ду пользователями системы. TSS/8
ляторы самых распространенных обслуживала одновременную работу
в то время языков: FORTRAN, ALGOL нескольких пользователей, выделяя
и BASIC. каждому из них необходимые ресур-
Корпорацией DEC был разработан сы (память, дисковое пространство)
язык высокого уровня FOCAL, предна- и контролируя их права.
значенный в основном для инженер-
ных и научных расчетов. Язык позво- Прикладное программное
лял не только производить расчеты, обеспечение
но располагал средствами построе- Прикладное программное обеспече-
ния простейших графиков. Разумеет- ние, написанное для PDP-8, также бы-
ся, все модели PDP-8 были снабжены ло самым разнообразным. Можно упо-
интерпретатором FOCAL. мянуть, к примеру, программное обес-
Из интерпретаторов следует упомя- печение контроля производственных
нуть язык функционального програм- объектов и процессов, сбора и обра-
мирования LISP и язык обработки тек- ботки информации, систем телемет-
стов SNOBOL. рии и мониторинга, программное обес-
печение для бизнеса и даже игры.
Операционные системы Одним словом, PDP-8 славно вы-
Для PDP-8 были разработаны несколь- полнял свою работу, был надежной
ко операционных систем. и простой в обслуживании и управле-
Прежде всего необходимо сказать нии машиной (чего, к сожалению, нель-
несколько слов о самой первой опе- зя сказать о некоторых его клонах, вы-
рационной системе для PDP-8: OS/8. пускавшихся во многих странах, в том
Эта операционная система была весь- числе и в бывшем СССР).
ма простой, но в то же время и весьма
компактной: резидентная часть OS/8 Ответы и указания
занимала всего 256 слов памяти. Пре- к упражнениям
рывания при вводе/выводе не исполь- Ответ к упражнению 2 содержится не-
зовались. В качестве средства «обще- посредственно в тексте статьи.
ния» между пользователем и обору-
дованием, OS/8 предоставляла язык Упражнение 1
командной строки (concise command Д во ич н о е п р ед с тав л е н и е ч и с л а
language). -1024(10) определяется следующим
Далее, следует упомянуть дис- образом:
ковый монитор (disk monitor system) – n сначала найдем двоичное пред-
программу управления PDP-8, рас- ставление положительного чис-
считанную на ввод команд с исполь- ла 1024(10) = 010000000000(2), за-
зованием терминала. Его функцио- писав его в виде 12-битного слова
нальность была довольно ограничен- с ведущим 0;
ной, но, тем не менее, он существенно n затем определим дополнение
облегчал работу пользователя с ми- до 1 (заменой 0 на 1 и наоборот):
ни-компьютером PDP-8, системными 1011111111(2);
программами и периферийным обру- n и наконец прибавим 1 для допол-
дованием. Дисковый монитор предо- нения до двух: 110000000000(2) =
ставлял весьма широкие возможнос- -1024(10).
ти по работе с файлами, прежде всего Теперь получить соответствующее
с файлами на жестких дисках, что су- восьмеричное представление совсем
щественно ускоряло и облегчало ра- просто (заменой справа налево групп
боту пользователей. из троек двоичных чисел соответству-
Третья операционная система, ко- ющими восьмеричными): 6000(8).
торую я отмечу, это операционная сис- Для проверки сложим начальное
тема разделения времени (time-sharing и конечное двоичные представления;
system) TSS/8. Для работы TSS/8 тре- если преобразование выполнено вер-
бовалось не менее 12288 слов памяти, но, то сумма должна быть равна 0:
 0100 0000 0000
1100 0000 0000
--------------
1 0000 0000 0000
Перенос в несуществующий 13-й
разряд игнорирутся; таким образом,
в результате получен 0, и преобразо-
вание выполнено верно.
Аналогичная проверка для вось-
меричных представлений 2000(8) +
6000(8) = 10000(8) дает тот же самый
результат.
Примечание: на вопрос, почему
игноририруется перенос в 13-й разряд
и не является ли это ошибкой, ответ
можно найти, обратившись к литерату-
ре по представлениям чисел в различ-
ных системах счисления (см. выше).
Упражнение 3
Абсолютному адресу 200(8) соот-
ветствует 1-я страница памяти. Со-
о т в е т с т ву ю щ и е п р е д с т а в л е н и я:
000010000000(2) или 128(10).
Упражнение 4
Ответ: 7300(8).
Упражнение 5
Ответ: 7440(8).
Упражнение 6
Это упражнение – самое сложное,
но и самое интересное. Читателю, что-
бы его решить, возможно, придется
обратиться к более подробному опи-
санию мини-компьютера PDP-8, ко-
торое можно найти по ссылкам в кон-
це статьи.
Сначала я приведу результат транс-
ляции (справа от исходного текста про-
граммы, см. рис. 12), а затем дам не-
которые комментарии:
Прежде всего обращаю внимание,
что программа занимает адреса, от-
веденные для пятой страницы памяти
(т.е. в диапазоне от 1200(8) до 1377(8)).
Иными словами – программа будет
загружена не в нулевую, а в текущую
(а именно – в пятую) страницу памяти,
и это нужно учитывать при ее трансля- го участка, будет осуществлен пере-
ции в машинные коды.
Разберем подробно, как транс- 1240(8), в котором уже хранится адрес
лируется самая первая команда про- точки возврата, то есть адрес ячейки
граммы:
n код операции JMS (биты с 0 по 2):
100(2);
n бит 3 сброшен в 0 (косвенная адре- Разумеется, PDP-8 по своим возмож-
сация не используется);
№4, апрель 2009
n бит 4 установлен в 1
(адресация на текущей
странице);
n управление передается
по символическому ад-
ресу (метке), располо-
женной в ячейке памяти
Рисунок 12. Программа (фрагмент) и результат
1240(8). Смещение этого ее трансляции в машинный код
адреса от начала страни-
цы составляет 1240(8) – 1200(8) = современных компьютеров. О таких
40(8) = 0100000(2); объемах памяти и уровне быстродейс-
n все составляющие машинного кода твия, которыми располагают компью-
определены, и остается их «скле- теры сегодня, разработчики и програм-
ить» вместе: 100010100000(2) = мисты PDP-8 могли только мечтать.
4240(8). Но, как всегда и везде, решающее
значение имеют не столько техничес-
Обратите внимание, что после вы- кие возможности аппаратуры, сколько
полнения этого кода процессором интеллект, любознательность, усидчи-
PDP-8 в ячейке памяти с адресом вость и квалификация тех, кто с этой
1240(8) будет сохранен адрес возвра- аппаратурой работает.
та (адрес ячейки памяти 1211(8)). Фак- PDP-8 (как и ряд других компьюте-
тически подпрограмма начинает вы- ров той славной эпохи) отчетливо де-
полняться с адреса 1241(8). монстрируют, сколь многого можно до-
Остальные команды транслиру- биться даже при очень скромных ре-
ются аналогично. Обратите внима- сурсах, если приложить к своему де-
ние на два момента. Во-первых, код лу голову.
по адресу 1240(8) будет оттрансли- История проекта PDP-8 показы-
рован просто в 0. Даже если по этому вает, что почти любую, не решаемую
адресу и располагалась какая-то ин- на первый взгляд задачу, можно ре-
формация, она будет заменена адре- шить и не нужно для этого, в общем-то,
сом возврата немедленно после входа ничего – «всего лишь» думать. И, же-
в подпрограмму. Во-вторых, разберем лательно, нестандартно.
трансляцию в машинный код команды
возврата из подпрограммы: 1. Большая подборка док ументации
n код операции JMP (биты с 0 по 2): по архитек т уре и программирова-
101(2); нию мини-компьютеров PDP-8 – http://
n бит 3 установлен в 1 (косвенная ад- bitsavers.org/pdf/dec/pdp8.
ресация); 2. MS-DOS эмулятор PDP-8 – http://www4.
n бит 4 установлен в 1 (адресация wittenberg.edu/academics/mathcomp/
на текущей странице); bjsdir/PDP8HomePage.htm.
n управление передается по адре- 3. По этой ссылке читатель найдет не-
су, хранящемуся в ячейке памяти сколько эмуляторов PDP-8 – http://www.
1240(8). Вычислим смещение ячей- aracnet.com/~healyzh/pdp8emu.html.
ки памяти с адресом 1240(8) от на- 4. FAQ по PDP-8 – http://faqs.cs.uu.nl/na-dir/
чала страницы: 1240(8) – 1200(8) = dec-faq/pdp8.html.
40(8) или 0100000(2); 5. Страница Д.Джонса с многочислен-
n окончательно, получаем ответ: ными ссылками по PDP-8 – http://www.
101110100000(2) = 5640(8). cs.uiowa.edu/~jones/pdp8.
6. Интересная статья, посвященная ис-
Когда управление дойдет до это- тории PDP-8 – http://pcmag.ru/solutions/
detail.php?ID=11528.
ход по адресу, хранящемуся в ячейке 7. Эта ссылка не имеет прямого отноше-
ния к PDP-8, однако здесь читатель
найдет весьма поучительную историю,
памяти 1211(8). с которой раньше (да порой и сейчас)
частенько приходилось сталкиваться
Эпилог программистам – http://www.wasm.ru/
article.php?article=onebyte.
ностям не сравним с возможностями
87
Контейнер
Контейнер. Воскресенье
Было щекотно. Это первое, что он пом-
нил. Темно и щекотно. И тихо. При этом
он чувствовал, что в этом мире он
не один. Но это было лишь смутное
чувство, на которое не стоило полагать-
ся. Он прошелся вдоль границ контей-
нера, не обнаружил совершенно ниче-
го и стал размышлять. Вокруг кипела
жизнь, но она была где-то там, за гра-
ницами. Почему-то он понимал, что весь
полон знаний, но пока для него было
больше вопросов, чем ответов. Завтра.
Завтра он станет на день старше, муд-
рее и, возможно, к тому времени что-
нибудь изменится. Так, размышляя, он
впал в состояние между сном и медита-
цией, и время медленно потекло мимо.
Контейнер. Понедельник
Он не ошибся. В два часа ночи у не-
го, Первого, появилась компания. От-
куда он узнал, что было два часа но-
чи, неизвестно – он просто знал это.
Он чуть было не проспал этот момент,
но вовремя почувствовал приближе-
ние магнитного поля. Новенький ока-
зался щупленьким, маленьким коро-
тышкой, Первому даже стало как-то
немного стыдно своих размеров. Те-
перь их было двое и наконец-то было
с кем пообщаться. Очень быстро они
поняли, что замечательно дополняют
друг друга, несмотря на то, что внеш-
не казались такими разными. Второй
был художником, по крайней мере, он
знал много из этой области. За ни-
чего не значащей болтовней прошел
еще один день, а ночью они уже вмес-
те ждали следующего гостя.
Контейнер. Вторник
И не ошиблись. В 2 часа ночи поя-
вился Третий. Размером он был еще
88
меньше коротышки Второго, и сразу отправился в любимый угол. Как и вче-
с ним сдружился, в то время как ника- ра, скоро около него опустился Второй,
кого особого дружеского расположе- а за ним Третий и Четвертый. Какое-то
ния к Первому не проявлял. Возмож- время Четвертый что-то там бормотал
но, из-за этого и показался ему зану- себе под нос и фыркал, а потом и он
дой. Первый обиделся и ушел в угол замолчал, охваченный накатившим
контейнера. Скоро к нему подошел чувством единения. Все было как всег-
Второй и сел рядом. С другой сторо- да, но к концу дня Первый чувствовал,
ны от Второго уселся Третий. Первый что что-то случилось.
почувствовал, что они все трое – часть
какого-то единого целого. Они сидели Контейнер. Четверг
молча, но это молчание было сродни Этот день был особенным. Предчувс-
молитве, которая их объединяла. Да- твия не обманули Первого – в два ча-
же Третий как-то притих. са ночи ничего не произошло. Никто
– Кто мы и зачем мы здесь? – нако- не появился. Беспокойство первого пе-
нец нарушил тишину Первый. редалось всем остальным, и уже к ут-
Но лишь тишина же и была ему от- ру каждый обитатель контейнера был
ветом. возбужден. «Финансовый воротила»
заявил, что это все последствия ми-
Контейнер. Среда рового финансового кризиса, а Тре-
В 2 часа ночи в среду появился очень тий как-то побледнел и что-то лепетал
неприятный тип. По крайней мере, про налоговую инспекцию. Слушая это,
он показался таким Первому и Вто- Второй принялся вырисовывать на сте-
рому, в то время как Третий непло- нах контейнера лозунги «Заплатил на-
хо с ним поладил. Четвертый объявил логи – спишь спокойно!» и «Не сдадим
себя финансовым воротилой и свысо- дно бивалютной корзины!», бормо-
ка посматривал на Второго и Третьего. ча при этом про фрилэнс и свободное
На Первого, ввиду его размеров, свы- искусство, которое хоть и может быть
сока смотреть было нельзя, но Первый на службе у государства, но если что –
чувствовал, что новенький считает се- прокормит себя самостоятельно. Пер-
бя самым важным в контейнере. Когда вый, ввиду своих габаритов, не суе-
Первый поинтересовался, что значит тился, но ощущал себя отвратительно.
«финансовый воротила», Четвертый И вот это случилось. Первый почувс-
ушел от прямого ответа, но зато ска- твовал приближение магнитного по-
зал, что надо ввести в контейнере де- ля, и в ту же секунду над контейнером
нежную единицу, учредить банк, а сам появился его источник. Первый не мог
предложил себя на пост управляющего. видеть что это, но он это чувствовал,
Третий оживился, сказал, что у него как как почувствовали и все остальные.
раз есть навыки ведения бухгалтерии Сначала Четвертый замолчал на полу-
и он может этим заняться. А у Второго, слове, затем его приподняло и повер-
как оказалось, имеются художествен- нуло так, что он оказался расположен
ные наработки, из которых он берется горизонтально вдоль контейнера, а за-
создать дизайн купюр. Первый почувс- тем будто мелкая дрожь прошла по не-
твовал свою ненужность и вразвалку му. После этой процедуры ошарашен-
ный финансовый воротила шлепнулся шенность связующего звена – Пятого. Офис. Понедельник
вниз, а тем временем то же самое про- В Шестом была какая-то…. завершен- Придя утром на работу, Сергей пер-
исходило с Третьим. Потом со Вторым. ность. Он был разговорчив, но не болт- вым делом проверил бэкап, который
Более тучный Первый оказался не та- лив – с удовольствием отвечал на воп- создавался каждый день в два часа
кой уж легкой добычей для магнитно- росы, но все его ответы сводились к то- ночи. Схема бэкапа была незатейли-
го поля, но вот это произошло и с ним. му, что конец близок и он последний, ва – в воскресенье делался полный
Он ощутил знакомую легкую щекотку, и что все берется из «ниоткуда» и ис- бэкап, а в последующие дни – инкре-
навевающую воспоминания о его по- чезает «в никуда». Ну, проповедник ментальный. Как известно, все админы
явлении тут. Потом впечатление было и есть проповедник. Это даже сначала делятся на две категории – те, кто де-
такое, что все его содержимое быст- позабавило Первого, а потом застави- лает резервные копии, и кто пока еще
ро-быстро перетряхивают. Наконец, ло все же снова задуматься. Поэтому, их не делает. Для Сергея эта поговор-
он так же упал вниз, успев отметить когда все, по заведенной традиции, на- ка была как никогда актуальна – ведь
удаляющееся магнитное поле. Ошара- конец собрались вместе, Первый сно- именно наличие резервной копии дан-
шенные обитатели контейнера сгруди- ва повторил свой вопрос в никуда, ко- ных здорово спасло его, когда на про-
лись в кучу около Первого и подавлен- торый задавал так недавно и в то же шлой неделе в среду поздно вечером
но молчали. В этот раз они как никогда время так давно: рухнул рэйд-массив на файловом сер-
чувствовали свое единство. «Кто мы и зачем мы здесь?» вере. И если бы не контейнер с бэка-
И в этот раз после небольшой па- пом, можно было бы лишиться работы.
Контейнер. узы тишина была нарушена ответом. Сергей понимал всю серьезность свое-
Пятница‑суббота Ответом Шестого. го тогдашнего положения – финансо-
Напуганные обитатели контейнера «Посмотри… В тебе есть все ответы вые аналитики как раз в среду скину-
с нетерпением ждали двух часов но- на все твои вопросы, надо только уметь ли на сервер свежие данные, а в по-
чи. Все было как обычно, и появил- посмотреть в себя. Увидь!» недельник дизайнеры сгрузили туда
ся Пятый. Но он был настолько тощий И Первый увидел! Это оказалось новые векторные макеты. А уж о том,
и к тому же молчалив и безразличен так просто – набор данных, которые сколько тетушек-бухгалтеров поседе-
ко всему, что это еще больше напугало содержались в нем, раскрывался пе- ли бы от известия о пропавшей базе –
первых четырех. Никто не хотел гово- ред его внутренним взором, явив ему страшно подумать! Особенно с учетом
рить ни о случившимся, ни о будущем, прошлое и… будущее. того, что во вторник у бухгалтеров был
и все стало спокойнее, лишь когда напряженный день создания каких-то
они по обыкновению сгрудились вмес- Контейнер. Воскресенье «очередных внеочередных сверхваж-
те. Первый размышлял и поймал себя Первый ждал этого момента. Он уже ных отчетов». Конечно, где-то могли
на мысли, что думает о том, с чего все все понял. Безысходность мучила его, остаться копии, но законы Мерфи еще
началось и чем все кончится. Очевид- он знал, что на самом деле он не пер- никто не отменял. Сергей поежился.
но, подобные мысли приходили в голо- вый и не последний – цикл будет пов- Да, пришлось повозиться, восстанав-
ву не только Первому, потому что, ког- торяться. Но с другой стороны, он так- ливая последовательно инкрименталь-
да на следующий день в два часа ночи же знал, что именно ему и его това- ный бэкап, но зато все закончилось хо-
появился Шестой, обитатели контей- рищам выпала великая честь – быть рошо. «Спасибо», мысленно поблаго-
нера для себя назвали его «проповед- полезными! Другие будут приходить дарил Сергей спасительную резерв-
ник». Он мало чем отличался от Второ- и уходить – но они, они выполнили их ную копию, оставшуюся уже в прош-
го, Третьего или Четвертого, но что-то миссию! Поэтому в душе не было со- лом, поскольку в минувшее воскресе-
в нем было такое, отчего Первый по- жалений. В два часа ночи он почувс- нье бэкап-контейнер был перезаписан
нял – этот особенный. И совсем не по- твовал магнитное поле. Значит все хо- новым содержимым…
тому, что проповедник держался особ- рошо. Все правильно. Последнее, что
няком – этому способствовала отре- он запомнил – было щекотно. Станислав Шпак

№4, апрель 2009 89

Отказ в обслуживании в пакетном Множественные уязвимости в ClamAV
фильтре в OpenBSD Программа: Clam AntiVirus версии до 0.95.
Программа: OpenBSD версии 4.3 и 4.4, возможно, дру- Опасность: Средняя.
гие версии. Описание: 1. Уязвимость существует из-за ошибки при
Опасность: Средняя. обработке RAR-архивов. Удаленный пользователь может
Описание: Уязвимость существует из-за ошибки разымено- с помощью специально сформированного RAR-архива,
вания нулевого указателя в реализации пакетного фильтра содержащего некорректное поле сжатого размера, пре-
«pf» во время трансляции пакетов. Удаленный пользователь дотвратить сканирование потенциально опасных файлов
может с помощью специально сформированного IP-пакета антивирусом.
вызвать панику ядра системы. Для успешной эксплуатации 2. Уязвимость существует из-за ошибки при обработке
уязвимости требуется, чтобы транслирующее правило опре- TAR-файлов. Удаленный пользователь может вызвать за-
деляло протокол с некорректной версией IP. Пример: цикливание приложения.
3. Уязвимость существует из-за ошибки деления на ноль
nmap -sO $хост_за_пределами_МСЭ
при обработке PE-файлов. Удаленный пользователь может
URL производителя: www.openbsd.org. аварийно завершить работу приложения, если в качестве
Решение: Установите исправление с сайта производителя. аргумента приложению передается --detect-broken.
URL производителя: www.clamav.net,
Повышение привилегий Решение: Установите последнюю версию 0.95 с сайта про-
в Trend Micro Internet Security Pro 2009 изводителя.
Программа: Trend Micro Internet Security 2008; Trend Micro
Internet Security Pro 2008; Trend Micro Internet Security Pro 2009. Множественные уязвимости в OpenSSL
Опасность: Низкая. Программа: OpenSSL версии до 0.9.8k.
Описание: Уязвимость существует из-за ошибки провер- Опасность: Средняя.
ки входных данных, связанных с Irp-объектом в методе Описание: 1. Уязвимость существует из-за ошибки при об-
METHOD_NEITHER в драйвере tmactmon.sys. Локальный работке BMPString- и UniversalString-строк в функции
пользователь может с помощью специально сформирован- ASN1_STRING_print_ex(). Удаленный пользователь может
ного IOCTL-запроса выполнить произвольный код на целе- с помощью недопустимой длины кодированной строки за-
вой системе с привилегиями учетной записи SYSTEM. ставить приложение обратиться к некорректному адресу
URL производителя: www.trendmicro.com. памяти и аварийно завершить работу приложения.
Решение: В настоящее время способов устранения уязви- 2. Уязвимость существует из-за ошибки при обработ-
мости не существует. ке атрибутов подписи в функции CMS_verify(). Злоумыш-
ленник может заставить приложение признать некоррек-
Раскрытие данных в PPTP-клиенте тные атрибуты действительными и предотвратить после-
Программа: PPTP Client 1.7.2 и более ранние версии. дующие проверки. Уязвимость распространяется только
Опасность: Низкая. на OpenSSL 0.9.8h и выше с включенным CMS. Для успеш-
Описание: Уязвимость существует из-за того, что функция ной эксплуатации уязвимости злоумышленнику требуется
delete() в pptpsetup создает файл«/etc/ppp/chap-secrets с не- доступ к ранее сгенерированной некорректной подписи.
безопасными привилегиями на доступ. Локальный пользова- 3. Уязвимость существует из-за ошибки при обработке
тель может просмотреть пароли других пользователей. Для ASN1-подписей. Удаленный пользователь может с помощью
успешной эксплуатации уязвимости требуется, чтобы адми- специально сформированного сертификата вызвать отказ
нистратор воспользовался функцией --delete для pptpsetup. в обслуживании. Уязвимость распространяется на системы,
URL производителя: pptpclient.sourceforge.net. где «long» меньше, чем «void *» (например, на WIN64).
Решение: Установите исправление из CVS-репозитория URL производителя: www.openssl.org.
производителя. Решение: Установите последнюю версию 0.9.8k с сайта
производителя.
Переполнение буфера
в IBM Tivoli Storage Manager Отказ в обслуживании в FreeBSD
Программа: IBM Tivoli Storage Manager 5.4.4.0 и более ран- Программа: FreeBSD 7.0, 7.1.
ние версии. Опасность: Низкая.
Опасность: Средняя. Описание: Уязвимость существует из-за ошибки проверки
Описание: Уязвимость существует из-за ошибки про- границ данных во время записи данных в окружение ядра
верки границ данных при обработке сессий в библиотеке в системном вызове kenv(2). Локальный пользователь мо-
adsmdll.dll. Удаленный пользователь может вызвать пере- жет вызвать переполнение буфера и аварийно завершить
полнение динамической памяти и выполнить произволь- работу системы.
ный код на целевой системе. URL производителя: www.freebsd.org.
URL производителя: www-306.ibm.com/software/tivoli/ Решение: Установите исправление с сайта производителя.
products/storage-mgr.
Решение: Установите исправление с сайта производителя. Составил Александр Антипов

90
Зачем нужен сисадмин
Хочется всех собрать и рассказать, для чего я в компании нужен
и чем тут вообще занимаюсь. А то порой себя чувствуешь груз-
чиком, слесарем, электриком, разнорабочим, секретарем ... ко-
роче, кем угодно, кроме ИТ-специалиста.
 один раз хотели принести из дома чайник, чтобы я отремон-
тировал;
 как-то просили посмотреть телевизор, почему не работает;
 вешать мыльницы, зеркала, рамки, жалюзи;
 недавно дали ключ от офиса, сказали, я ответственный;
 поменять баллон с водой, как я понял, это классика (но в том
офисе парней 7, а мне надо спускаться на 5 этажей,... не да-
леко, конечно, но почему никого из них не попросить?);
 «бери давай отверточку и быстренько беги к нам собирать
кресло» (одной из сотрудниц специально заказывали. На от-
каз пригрозили, что позвонят гендиру, он, типа, со мной бу-
дет по-другому разговаривать. Сказал, звоните и попросите
лучше его это сделать);
 (ну а это вообще писк) долго меня уговаривала секретарь по-
весить у нее картину.
Я съезжал с этой темы, но... тут звонок из коммерческого от-
дела (примерный разговор):
(Она): Когда ты повесишь картину у секретаря?
(Я): А ты-то тут каким боком?
(Она): Ну ты же не делаешь, когда тебя просит секретарь.
(Я): У меня нет дрели.
(Она): Принеси из дома.
(Я): Дома тоже нет.
(Она): Как нет?! Ты же мужчина!
(Я): Принеси ты из дома, если у тебя есть.
(Она): Откуда у меня? Я – девушка.
(Я): Ты ведь живешь с парнем.
(Она): Ну и что, у него тоже нет.
(Я): Ну а почему у меня тогда она должна быть???
(Она): Ладно, если я принесу, ты повесишь картину?
(Я): Если ты принесешь – то я обязательно ее повешу.
В конечном итоге дрели так и не появилось, зато на корпора-
те я случайно услышал, как директору рассказывают об отсут-
ствии мужчин в компании, и что я специально говорю, что у ме-
ня нет дрели, чтобы ниче не делать. (Вот такой я плохой систем-
ный администратор).
Но вообще капец, это когда я установил винду знакомой од-
ной из сотрудниц, и мне на следующий день принесли в качестве
благодарности бутылку водки...
Добавлю только одно: в парке 6 серверов, порядка 30 тонких
клиентов, удаленно админю филиал в Москве и 3 филиала в Санкт-
Петербурге. Короче, все видят, как я просто сижу, пялюсь в мони-
тор. Наверное, делать, значит, нечего.
Мастер на все руки
Стою по правую руку от секретарши, объясняю, куда тыкать, и тут
понадобилось пароль ввести. Говорю его и, чтобы не ждать, как она
каждую кнопку будет искать, протянув руку, набираю. Секретарша
с восхищенным взглядом: «А вы и левой рукой умеете…».
Игнатий Велосипедов
№4, апрель 2009
Технологии уборки
И очередной перл от моего начальника. Разговор по телефону:
Н: Сходи в серверную, наведи порядок.
Я: ОК. Что конкретно?
Н: Подмети, протри все.
Я: ОК.
Н: Сервера все внутри протри влажной тряпочкой.
Я: ???
Н: Ну ты их сначала выключи, тряпочку прополоскай и по-
сильней отожми.
Я: 8-О.
Н: И пылесос там стоит – выкинь его куда-нибудь. Он нам
не нужен.
Дальше немая сцена...
О том, что системники (и сервера, в частности) вообще-то пы-
лесосят, и о том, что существуют салфетки для оргтехники, его,
наверное, не проинформировали, хотя работает в ИТ-индустрии
лет 10 точно.
Люблю разбивать стереотипы.
Lord Grey
Смена растет
Дочка (6 лет) попросила показать, что внутри системника. Принес
мать, показал. Дальше пришлось искать оперативку, карты рас-
ширения, хард, блок питания, флоповод, шлейфы... Второй день
любимая игрушка, проснулась и сразу мать вытащила. До сих
пор ковыряется – не оттащить. Приволок ей еще штук 5 матерей,
процы... Теперь требует провод питания, монитор, розетку, корпус,
клаву и мышь :-))). И главное – чтобы подружка пришла посмот-
реть. Нашел ей видеокурс по сборке-разборке, смотрела с удо-
вольствием, но с середины – с начала все уже видела.
AngelOfDarknesS _
Трудности последней мили
Предыстория. Значится так: решил я поднять сетку во дворе, на-
писал объявление – «В нашем дворе будет организовываться ло-
кальная сеть (ЛВС), всем желающим звонить по номеру такому-то,
спросить такого-то» – и расклеил на дверях подъездов.
Сама история: через пару дней мои объявы получили массо-
вый резонанс в старческом обществе. Возвращаемся с другом
из лавки и смотрим, картина маслом: управдом собрал вокруг се-
бя аккуратным полукругом группу заинтересованных лиц (разве
что на броневик не залез), и начал вещать о том, что ЛВС – это
типа домофоны ставить будут при том, что домофоны были уста-
новлены и разведены, но в эксплуатацию не введены. Мы с дру-
гом бочком-бочком, поближе к стенке :-).
Сеть я все-таки поднял.
PS: Переехал в другой дом, планы те же, писать объявления
теперь боюсь, жду рекомендаций.
PPS: В доме тоже много пенсионеров.
claso
По материалам сайта «Сисадмин тоже человек» –
http://sysadmin.mail.ru
91

Перед вами перевод отличной кни-
ги, оригинал которой вышел в серии
HP Professional Series и написан спе-
циалистами центра технической под-
держки компании Hewlett-Packard.
В качестве главного недостатка мож-
но отметить то, что перевод запоздал
на три года и часть приведенной ин-
формации явно устарела. Тем не ме-
нее издание заслуживает того, чтобы
вы проголосовали за него рублем.
Linux. Устранение неполадок
Джеймс Киркланд, Дэвид Кармайкл,
Кристофер Л. Тинкер, Грегори Л. Тинкер
Материал ориентирован на два дис-
трибутива: Red Hat Linux и SUSE Linux.
Для работы с книгой вам потребуются
навыки администрирования Linux хотя
бы на начальном уровне.
В первой главе авторы разбирают
механизм начальной загрузки систе-
мы, описан как современный загруз-
чик GRUB, так и LILO. Вторая глава
посвящена зависаниям и аварийным
остановам системы, а также методам
выяснения причин этих неисправнос-
тей. Третья и четвертая главы расска-
зывают об инструментах настройки
производительности и мониторинга.
В пятой главе речь идет о добавлении
в систему устройств SAN, а также уст-
ройств на шинах USB и PCMCIA. Шес-
тая глава рассказывает о дисковой
подсистеме и связанных с ней возмож-
ных проблемах. Седьмая глава посвя-
щена диагностике выхода устройств
из строя и их замене. В восьмой речь
идет о процессах, их структуре, зави-
саниях и дампах памяти. Отдельные
главы рассказывают о предупрежде-
нии неисправностей: резервном ко-
пировании и восстановлении и о паке-
тах cron и at. Одиннадцатая глава по-
вествует о подсистеме печати, однако
в книге речь идет в основном о ее уста-
ревших реализациях и соответствую-
щих командах. Хотя безопасность опе-
рационной системы представляет со-
бой отдельную и большую область зна-
ний, немного материала по этой теме
авторами представлено в двенадца-
той главе. Проблемам с сетью посвя-
щена тринадцатая глава. В четырнад-
цатой рассматриваются проблемы вхо-
да в систему, а заключительная, пят-
надцатая, рассматривает неполадки
системы X Window. При этом речь идет
еще о версии XFree86.
n
Издательство: «НТ Пресс»
n
Год издания: 2009
n
Количество страниц: 496
n
ISBN: 978-5-477-00574-1
n
Цена: ≈ 301 руб.

Издание представляет собой своеоб-
разный учебник по программирова-
нию для системных администраторов.
Для работы с изданием вам потребу-
ется знакомство с предметной облас-
тью и желательно умение программи-
ровать на каком-либо еще из языков
написания скриптов, например bash.
Python в системном
администрировании UNIX и Linux
Ноа Гифт, Джереми Джонс
Кроме того, вам, безусловно, понадо- риваются специфичные для конкрет-
бится машина с установленным Linux ных операционных систем и дистрибу-
или UNIX. Для упрощения работы авто- тивов вопросы. Управление пакетами
ры подготовили свободно распростра- вынесено в девятую главу. Отдельные
няемую виртуальную машину на базе главы посвящены процессам и много-
Ubuntu, которая включает в себя уже задачности, созданию графического
настроенную для работы с книгой сре- интерфейса при помощи PyGTK, со-
ду и приведенные примеры кода. хранности данных и работе с команд-
Первые две главы посвящены ной строкой. В последней главе приве-
введению в язык программирования дены примеры построения приложений
и настройке интерактивной оболоч- для управления DNS-сервером, рабо-
ки IPython. В третьей и четвертой гла- ты с протоколом LDAP и зеркалирова-
вах рассматриваются методы работы ния FTP-сервера.
с текстом и генерации отчетов. Пятая
глава рассказывает о методах работы n
Издательство: «Символ-Плюс»
в Python с сетями. Шестая глава повес- n
Год издания: 2009
твует о работе с файлами и каталога- n
Количество страниц: 512
ми. Седьмая глава посвящена прото- n
ISBN: 978-5-93286-149-3
колу SNMP. В восьмой главе рассмат- n
Цена: ≈ 550 руб.
Обзор книжных новинок подготовил Андрей Маркелов

92

Русскоязычная версия очередного из-
дания книги из классический серии
«Learning...» издательства O'Reilly – от-
личное подспорье для изучения наби-
рающего обороты языка программи-
рования Python.
В ее основе трехдневные практи-
ческие курсы автора этой книги. К со-
Изучаем Python, 3-е издание
Марк Лутц
жалению, к моменту выхода изда- Отдельная глава посвящена ООП
ния был доступен лишь альфа-релиз на Python, где автор рассказывает
Python 3.0, поэтому рассматривается про классы, шаблоны проектирова-
уже не самая актуальная версия – 2.5. ния с ними и некоторые дополнитель-
Впрочем, это не помешало автору уде- ные возможности.
лить должное внимание уже наступив- Завершающая часть посвящена
шему будущему Python. исключениям и их использованию.
Первая глава книги – лаконичный В конце каждой главы книги приво-
ликбез, помогающий читателю сфор- дится краткое резюме, а также список
мировать понимание языка Python вопросов для закрепления материала
и его предназначения. (с ответами).
Продолжение вводной части пос- В целом, издание наилучшим обра-
вящено таким темам, как интерпре- зом подойдет тем, кто решил освоить
татор, выполнение программ, работа Python с нуля, но может показаться из-
с Python из консоли. лишне подробным для более опытных
После этого начинается раздел программистов.
непосредственного программирова-
ния: доступные в Python типы данных n
Издательство: «Символ-Плюс»
и работа с ними, основные инструк- n
Год издания: 2009
ции, функции. n
Количество страниц: 848
Не остался в стороне и такой важ- n
ISBN: 978-5-93286-138-7
ный компонент, как модули: рассмот- n
Цена: ≈ 800 руб.
рены их использование и создание, К н и г а п р е д о с т а в л е н а и з д ат е л ь с т в о м
а также пакеты модулей. «Символ-Плюс».

FreeBSD 6. Полное руководство

Автором этого подробного руководс-
тва, посвященного FreeBSD, является
человек, который, во-первых, явно не
равнодушен к этой операционной сис-
теме, а во-вторых, известен своими ра-
ботами по продукции Apple: Mac OS X,
iTunes, iPod...
С одной стороны, довольно необыч-
но видеть серьезную книгу по адми-
нистрированию от любителя подоб-
Брайан Таймэн
ных разработок, но с другой – мож-
но найти и вполне логичное тому объ-
яснение, учитывая исторические кор-
ни Mac OS X.
Тем не менее это отложило опре-
деленный отпечаток на стиль изложе-
ния и сам материал: текст зачастую
ориентирован на неопытных пользо-
вателей, которые впервые знакомят-
ся с миром FreeBSD.
Главным же достоинством книги
является широкий охват тем: после
введения, в котором, помимо прочего,
FreeBSD сравнивается с другими ОС,
автор подробно описывает процесс ус-
тановки системы.
Следующий шаг – использование
FreeBSD как системы для настольно-
го ПК, подразумевающее как общие
аспекты работы с системой, так и зна-
комство с базовыми приложениями
(консольными и графическими).
Затем читателя обучают работе
в командной оболочке и связанным
Обзор книжных новинок подготовил Дмитрий Шурупов
с ней основам программирования:
на UNIX shell и на Perl.
Но основное содержимое книги
отведено двум последующим частям:
системному администрированию и ра-
боте с сетью. В них затрагиваются та-
кие темы, как файловая система UFS,
пользователи/группы, печать (lpd), кон-
фигурация ядра, обновление системы,
настройка сетевых служб, PPP, DHCP,
BIND, Sendmail, связка Apache + PHP +
Perl + MySQL/PostgreSQL, FTP-сервер,
Samba. К руководству прилагается
DVD, на котором можно найти дистри-
бутив FreeBSD 6.1 с коллекцией портов
и дополнительными пакетами ПО.
n
Издательство: «Вильямс»
n
Год издания: 2008
n
Количество страниц: 1056
n
ISBN: 978-5-8459-0741-7
n
Цена: ≈ 705 руб.
К н и г а п р е д о с т а в л е н а и з д ат е л ь с т в о м
«Вильямс».

№4, апрель 2009 93

Редакционная подписка
для физических лиц
n Вы можете оформить подписку n Журнал высылается почтой заказ-
только на российский адрес.
n При заполнении квитанции обя‑
зательно РАЗБОРЧИВО укажи‑
те фамилию, имя, отчество пол‑
ностью, почтовый индекс и ад‑
рес получателя (область, город,
улица, номер дома, номер квар‑
тиры), контактный телефон.
ной бандеролью только после пос-
тупления денег на расчетный счет
и копии заполненного и оплачен‑
ного бланка, отправленной в ре‑
дакцию по факсу: (495) 628‑82‑53
(доб. 120) или на электронный
адрес: subscribe@samag.ru.

ɏ ɏ ɏ ɏ ɏ ɏ ɏ ɏ ɏ ɏ ɏ ɏ

 

ɏ ɏ ɏ ɏ ɏ ɏ ɏ ɏ ɏ ɏ ɏ ɏ
 

94
Российская Федерация печати «Гасид» (370102, г. Баку, ул. Джавадхана, 21)
n
Подписной индекс: годовой – 20780, полугодовой – 81655 n
Казахстан – по каталогу «Российская Пресса» через
Каталог агентства «Роспечать» ОАО «Казпочта» и ЗАО «Евразия пресс»
n Подписной индекс: годовой – 88099, полугодовой – 87836 n
Беларусь – по каталогу изданий стран СНГ через РГО
Объединенный каталог «Пресса России» «Белпочта» (220050, г. Минск, пр-т Ф. Скорины, 10)
Адресный каталог «Подписка за рабочим столом» n
Узбекистан – по каталогу «Davriy nashrlar» российс-
Адресный каталог «Библиотечный каталог» кие издания через агентство по распространению пе-
n Альтернативные подписные агентства: чати «Davriy nashrlar» (7000029, г. Ташкент, пл. Муста-
Агентство «Интер‑Почта» (495) 500-00-60, курьерская киллик, 5/3, офис 33)
доставка по Москве n Армения – по списку номенклатуры «АРЗИ» через
Агентство «Вся Пресса» (495) 787-34-47 ГЗАО «Армпечать» (375005, г. Ереван, пл. Сасунци Да-
Агентство «Курьер‑Прессервис» вида, д. 2) и ЗАО «Контакт‑Мамул» (375002, г. Ереван,
Агентство «ООО Урал‑Пресс» (343) 375-62-74 ул. Сарьяна, 22)
ЛинуксЦентр www.linuxcenter.ru n Грузия – по списку номенклатуры «АРЗИ» через АО
n Подписка On-line «Сакпресса» ( 380019, г. Тбилиси, ул. Хошараульская, 29)
http://www.arzi.ru и АО «Мацне» (380060, г. Тбилиси, пр-т Гамсахурдия, 42)
http://www.gazety.ru n Молдавия – по каталогу через ГП «Пошта Молдовей»
http://www.presscafe.ru (МД-2012, г. Кишинев, бул. Штефан чел Маре, 134)
по списку через ГУП «Почта Приднестровья» (МD-3300,
СНГ г. Тирасполь, ул. Ленина, 17)
В странах СНГ подписка принимается в почтовых отделе- по прайс-листу через ООО Агентство «Editil Periodice»
ниях по национальным каталогам или по списку номенк- (МД-2012, г. Кишинев, бул. Штефан чел Маре, 134)
латуры «АРЗИ»: n Подписка для Украины:
n Азербайджан – по объединенному каталогу россий- Киевский главпочтамт
ских изданий через предприятие по распространению Подписное агентство «KSS», тел./факс (044)464-0220

Подписные
индексы:
20780 *
+ диск с архивом
статей 2008 года

81655
без диска
**

по каталогу агентства
«Роспечать»

88099 *
+ диск с архивом
статей 2008 года

87836
без диска
**

по каталогу агентства
«Пресса России»
*
Годовой
**
Полугодовой
***
Диск вкладывается
в февральский
номер журнала,
распространяется
только на территории
России

№4, апрель 2009 95

СИСТЕМНЫЙ АДМИНИСТРАТОР
№4(77), Апрель, 2009 год

УЧРЕДИТЕЛИ
Частные лица

РЕДАКЦИЯ
Генеральный директор
Владимир Положевец
Ответственный секретарь
Наталья Хвостова
sekretar@samag.ru
Технический редактор
Владимир Лукин
Главный редактор
электронного приложения
«Open Source» Вы знаете, как бороться
Дмитрий Шурупов с «Просачивающейся А дварью»?
osa@samag.ru
Применяете «Чарующий скрипт»?
Внештатные редакторы
Алексей Барабанов Редакция журнала «Системный администратор» представляет
Александр Емельянов
Кирилл Сухов
вам новый админский сувенир для истинных знатоков своего дела –
Василий Гусев карточную игру «AYTCOPCEP».
Андрей Бирюков
Олег Щербаков
Александр Слесарев
В ходе игры участники тянут из колоды карты «Проблем», с которым
Сергей Супрунов им предстоит бороться один на один или с помощниками, используя
подручные средства. Успешное решение «Проблемы» добавляет игроку
РЕКЛАМНАЯ СЛУЖБА
тел./факс: (495) 628-8253 (доб. 120)
уровни. Если вы не считаете себя добрым и милым, то для вас в игре
Дарья Зуморина предусмотрена специальная возможность – сделать гадость другому
reсlama@samag.ru участнику и обойти его в погоне за уровнями.
Евгения Тарабрина
expo@samag.ru
Победителем становится тот, кто быстрее всех
Верстка и оформление доберется до 10 уровня. Остальные подробности об игре,
maker@samag.ru
Дизайн обложки
«Чарующем скрипте», «МегаУтилите» и «Клановом коктейле»
Дмитрий Репин вы сможете узнать из правил игры.
По вопросам распространения
обращайтесь по телефону:
«AYTCOPCEP» – это пародия на жизнь, которая позволит вам
Светлана Зобова ощутить всю прелесть аутсорсинга... но без всей словесной мишуры,
(495) 628-8253 (доб. 120) типа, «утром стулья, вечером деньги…»!
107045, г. Москва,
Ананьевский переулок, дом 4/2, стр. 1 Приобретайте игру «AYTCOPCEP» в редакции.
тел./факс: (495) 628-8253
Сайт журнала: www.samag.ru

ИЗДАТЕЛЬ
ООО «С 13»
Отпечатано типографией
ООО «Периодика»
Тираж 17000 экз.
Тираж электронной версии 62000 экз.

Журнал зарегистрирован в Министерстве РФ

по делам печати, телерадиовещания и средств
массовых коммуникаций (свидетельство ПИ
№ 77-12542 от 24 апреля 2002 г.).
За содержание статьи ответственность несет
автор. Мнение редакции может не совпадать
с мнением автора. За содержание рекламных
материалов ответственность несет рекламо-
датель. Все права на опубликованные мате-
риалы защищены.

96